2017

Nettengdir bangsar leka persónuupplýsingum um 800.000 notendur

Persónuvernd vakti nýverið athygli á því að huga þyrfti að öryggi og persónuvernd við kaup og notkun á gagnvirkum og nettengdum leikföngum, en hér má nálgast frétt um það efni. Persónuvernd hvetur þá sem kaupa leikföng, til dæmis í vefverslunum erlendis, til að vera meðvitaðir um þær áhættur sem fylgja nettengdum leikföngum. Í fyrri frétt Persónuverndar var meðal annars fjallað um nettengdu dúkkuna My Friend Cayla og i-Que-vélmennið, sem víða hafa verið fjarlægð úr hillum leikfangaverslana, meðal annars vegna hættu á að utanaðkomandi aðilar geti náð stjórn á þeim með aðstoð snjallsíma og hlustað á eða átt samskipti við börnin sem leika sér með leikföngin. En fleira getur farið úrskeiðis.

 

Undanfarna daga hafa erlendir fjölmiðlar flutt fréttir af því að persónuupplýsingar meira en 800 þúsund notenda CloudPets hafi verið geymdar í óvörðum gagnagrunni sem var aðgengilegur á Netinu, en CloudPets eru nettengdir bangsar sem eru tengdir við smáforrit sem hægt er að hlaða niður í snjallsíma. Bangsarnir geta bæði tekið upp skilaboð frá börnum og sent í snjallsíma, og móttekið hljóðupptökur úr snjallsíma og spilað þær fyrir börnin, en þeir eru m.a. markaðssettir sem tæki til að gera börnum kleift að eiga samskipti við foreldra eða aðra ættingja sem eru fjarstaddir.

 

Fyrrgreindur öryggisbrestur varð til þess að óprúttnir aðilar höfðu aðgang að gagnagrunninum frá 25. desember 2016 til 13. janúar 2017. Þar með gátu þeir nálgast upplýsingar í gagnagrunninum um notendur smáforritsins, þar á meðal upplýsingar um netföng og lykilorð. Þrátt fyrir að lykilorðin hafi verið dulkóðuð voru engar kröfur gerðar um styrkleika lykilorða í forritinu og því reyndist auðvelt að komast framhjá þeirri hindrun. Þá var tiltölulega einfalt fyrir óprúttna aðila að nálgast notendamyndir og hljóðupptökur, sem sendar höfðu verið með aðstoð leikfanganna, með því að nota upplýsingar úr gagnagrunninum. Samkvæmt því sem fram hefur komið í fjölmiðlum var gagnagrunnurinn tekinn í gíslingu af tölvuþrjótum þann 12. janúar sl. og lausnargjalds krafist. Því er ljóst að persónuupplýsingum notenda var stolið. Hinum skráðu, þ.e. notendum smáforritsins og foreldrum barna sem áttu CloudPets-leikföng, var ekki tilkynnt um öryggsbrestinn.

 

Það var þó ekki aðeins fyrrnefndur gagnagrunnur sem var óvarinn fyrir aðgangi óviðkomandi aðila. Öryggi leikfanganna sjálfa reyndist einnig ótryggt og eins og í tilviki dúkkunnar Caylu og i-Que-vélmennisins er hætta á að utanaðkomandi aðilar geti náð stjórn á þeim. Einstaklingur með snjallsíma getur tengst CloudPets-leikfanginu og bæði sent og móttekið gögn og skilaboð frá því, að því gefnu að hann sé staddur í minna en 10 metra fjarlægð frá því. Þannig er mögulegt að óviðkomandi einstaklingar geti sent skilaboð í leikfangið sem það síðan spilar fyrir barnið, sett upptöku af stað án þess að viðstaddir verði þess varir, og hlaðið niður hljóðskrám sem leikfangið hefur tekið upp.

 

Framangreindir öryggisbrestir í CloudPets-leikföngunum og smáforritinu eru því miður ekki einsdæmi, en reglulega berast fréttir af slíkum öryggisbrestum sem uppgötvast hafa í nettengdum og/eða gagnvirkum leikföngum. Persónuvernd hvetur því foreldra og aðra til þess að vera meðvitaðir um öryggi þeirra persónuupplýsinga sem sendar eru yfir Netið eða vistaðar á Netinu í gegnum leikföng.

 

Hér er umfjöllun um gagnagrunn CloudPets og hér er fjallað um öryggisbrest í leikföngunum sjálfum.