Một lỗ hổng bảo mật nghiêm trọng đã khiến hàng triệu thông tin cá nhân, ảnh và đoạn ghi âm giọng nói trẻ em và người lớn của người dùng thú nhồi bông thông minh, do hãng CloudPets sản xuất, bị rò rỉ ra bên ngoài.
Đồ chơi trẻ em có khả năng ghi âm và phát các thông điệp ngày càng phổ biến tại nhiều nước trên thế giới. Một trong số các thương hiệu chuyên sản xuất đồ chơi thông minh kiểu này là CloudPets, công ty có trụ sở ở California, Mỹ.
Bắt đầu tung ra thị trường từ năm 2015, các sản phẩm thú nhồi bông của CloudPets được kết nối với ứng dụng di động, cho phép các bậc phụ huynh và những người thân trong gia đình gửi thông điệp ghi âm sẵn tới con cái của họ. Để sử dụng tính năng này, người dùng buộc phải tạo ra một tài khoản CloudPets, khai báo tên của đứa trẻ, cung cấp địa chỉ email và một bức ảnh.
Cũng giống như các loại đồ chơi kết nối Internet khác, CloudPets lưu trữ toàn bộ dữ liệu nói trên trong dịch vụ đám mây, thay vì trên chính smartphone của người dùng.
Nhà nghiên cứu bảo mật Troy Hunt và các chuyên gia khác phát hiện, thông tin về bọn trẻ được lưu trữ trong cơ sở dữ liệu của CloudPets không được bảo mật tốt dù vẫn duy trì mật khẩu cho từng tài khoản người dùng. Điều này là do hệ thống không đòi hỏi cơ chế xác thực khi truy nhập.
Theo báo cáo mới của ông Hunt, các hacker đã lợi dụng lỗ hổng bảo mật nghiêm trọng này để đột nhập vào hệ thống và đánh cắp dữ liệu của hơn 820.000 tài khoản người dùng CloudPets, kể cả 2,2 triệu đoạn ghi âm giọng nói.
Các hacker sau đó đã xóa bỏ dữ liệu và để lại một thông báo tống tiền, yêu cầu CloudPets phải trả cho chúng một lượng tiền ảo Bitcoin nhất định mới lấy lại được dữ liệu. Tuy nhiên, hãng sản xuất đồ chơi Mỹ dường như đã bác bỏ yêu sách này. Thay vào đó, hãng khôi phục lại toàn bộ dữ liệu từ một nguồn sao lưu dự phòng.
Hiện tại, CloudPets không còn công khai cơ sở dữ liệu trên và tạm khóa quyền truy cập vào hệ thống của mình. Tuy nhiên, công ty không thông báo cho người dùng về sự cố rò rỉ thông tin và điều này có thể vi phạm luật pháp Mỹ. Ở California, nhà chức trách yêu cầu các công ty phải khuyến cáo khách hàng nếu thông tin của họ bị lộ trên mạng.
Ông Hunt cảnh báo, các bậc phụ huynh cần phải thay đổi mật khẩu tài khoản cá nhân nếu tái dùng mật khẩu CloudPets cho những dịch vụ khác.
Tuấn Anh (Theo CNN)