呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：連網布偶玩具商不設防，公開的 MongoDB 外洩逾200萬筆語音資料遭勒贖摘要：安全研究人員Troy Hunt指出一款連網布偶CloudPet製造商洩露超過200萬筆親子語音檔，而且已經遭到多次存取，並遭歹徒挾持資料要求贖金。研究人員偶然發現，CloudPet儲存父母與幼童對話錄音資料的MongoDB是架在公司對外的網段上，沒有防火牆，不需任何驗證即可存取，因此被搜尋聯網物件常用的搜尋引擎Shodan索引到。後來他課堂上的一名學生去年送CloudPet給女兒當聖誕節禮物後的第一天，信件就外洩。經過追查發現，CloudPet供應商不設防的架構使大量資料，包括超過82萬名註冊用戶，以及將近220萬筆用戶錄音檔公開於網路上。此外，研究人員還可清楚辨識出玩具廠商系統2個分別為開發用及測試用的資料庫，每個大小將近10GB大小的資料庫系統。引用來源： http://www.ithome.com.tw/news/112369 #58b541de8a19aa391af3dd55

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：連網布偶玩具商不設防，公開的 MongoDB 外洩逾200萬筆語音資料遭勒贖摘要：安全研究人員Troy Hunt指出一款連網布偶CloudPet製造商洩露超過200萬筆親子語音檔，而且已經遭到多次存取，並遭歹徒挾持資料要求贖金。研究人員偶然發現，CloudPet儲存父母與幼童對話錄音資料的MongoDB是架在公司對外的網段上，沒有防火牆，不需任何驗證即可存取，因此被搜尋聯網物件常用的搜尋引擎Shodan索引到。後來他課堂上的一名學生去年送CloudPet給女兒當聖誕節禮物後的第一天，信件就外洩。經過追查發現，CloudPet供應商不設防的架構使大量資料，包括超過82萬名註冊用戶，以及將近220萬筆用戶錄音檔公開於網路上。此外，研究人員還可清楚辨識出玩具廠商系統2個分別為開發用及測試用的資料庫，每個大小將近10GB大小的資料庫系統。引用來源： http://www.ithome.com.tw/news/112369

at Tue, Feb 28, 2017 5:24 PM