Amerikaanse winkelketens hebben slimme knuffels uit de verkoop gehaald, nadat onderzoekers verschillende veiligheidslekken ontdekten. Probleem is dat die al vorig jaar aan het licht kwamen, en de CloudPets in de tussentijd gewoon te koop bleven.
Ouders konden met een smartphone-app geluidsopnames naar de knuffels sturen, of juist opnames van hun kinderen maken. Reeds in maart van 2017 werd duidelijk dat deze geluidsfragmenten zonder beveiliging op de servers van de makers werden bewaard. Een beveiligingsonderzoeker kreeg die data in handen, naast andere gevoelige informatie als inlog-gegevens en profielfoto’s.
Lek na lek
Mettertijd nam het bedrijf achter de knuffels hier maatregelen tegen, maar andere kwetsbaarheden bleven bestaan. Zo konden kwaadwillenden op het bluetooth-signaal inbreken om hun eigen berichten in te laden. Daarnaast is het domein van de officiële CloudPets-website verlopen, waardoor deze vatbaar is voor phishing-praktijken.
De CloudPets zijn nu niet meer te koop op onder andere Amazon, Target en Walmart. Dit naar aanleiding van een brief van de Electronic Frontier Foundation, die opnieuw waarschuwde voor de gevaren van ‘connected toys’ die niet goed beveiligd zijn. Hoeveel er in de tussentijd nog van zijn verkocht, is niet duidelijk.