Muchos son los niños que tienen un peluche de Cloud Pets. A través de una aplicación para el móvil, los padres pueden grabar su voz y reproducirla a través del peluche, el cual tiene un micrófono instalado. De esta forma el niño no se siente solo y, además, como el peluche no distingue entre menores o adultos, el niño también puede grabarse para después escucharse a través del peluche.
Sin embargo, la diversión se acabó cuando más de dos millones de estas grabaciones se expusieron en Internet, además de las más de 820.000 credenciales (nombres, apellidos, números de teléfono o nombres de los menores) que los padres tuvieron que dar para poder utilizar la aplicación, según informa Daily Mail.
Fue el experto en ciberseguridad, Troy Hunt, quien se dio cuenta. Buscó la base de datos donde estaban las credenciales y, como eran muy débiles, no le resultó difícil hackearlas y acceder a ellas.
Pero él no fue el único. Ciberdelicuentes encontraron la base de datos utilizando un motor de búsqueda llamado Shodan, que está diseñado para encontrar sitios web desprotegidos.
A pesar de este incidente, la empresa responsable, Spiral Toys, aún no ha notificado nada a los afectados. "Es una fuga alarmante no sólo porque se exponga información muy personal de los niños, sino también porque la compañía ha decidido no notificar nada a las familias afectadas", aseguró Hunt al Daily Mail. Aunque "el principal riesgo es la invasión de la privacidad que afecta a las familias".
"Hay poco valor funcional en las grabaciones de voz de los niños, pero es un contenido de una naturaleza muy personal que, obviamente, a las familias les gustaría mantener en su privacidad".
Además, la aplicación permitía a los usuarios crear contraseñas débiles como '12345' o 'cloudpets', lo que facilitaba que los ciberdelincuentes accediesen a las cuentas de usuario y escucharan los mensajes.
"Los juguetes en espiral obviamente deberían haber tenido su base de datos debidamente protegida con una contraseña", afirmó Hunt a Daily Mail.
Un representante de Spiral Toys, Harold Chizick, aseguraba a eldiario.es, que desde la compañía "invalidamos inmediatamente todas las contraseñas de nuestros clientes para asegurarnos de que no se pueda acceder a esa información". "Hasta donde sabemos, no podemos detectar ninguna brecha en nuestros mensajes ni en las imágenes ya que todos los datos estaban cifrados".
Por su parte, Hunt aseguró que había contactado con la compañía para preguntar si había constancia de que la base de datos había sido borrada y secuestrada en numerosas ocasiones. Sin embargo, el consejero delegado de la compañía niega esas comunicaciones y el robo de las grabaciones.