玩具制造商是否忽视了数据泄露的警告?这是困扰螺旋玩具公司的一个关键问题,该公司生产了一系列智能毛绒玩具,安全研究人员担心这些玩具很容易被黑客入侵。
周二,螺旋玩具公司表示违反该网站在上周的2月22日才引起人们的注意。
这一声明令人惊讶。去年12月底,一位名叫维克多·吉弗斯(Victor Gevers)的研究人员开始就这个问题与这家玩具制造商联系,当时他注意到存储客户信息的MongoDB公司的数据库被公开曝光。
Gevers甚至记录他试图联系螺旋玩具公司,包括通过领英(LinkedIn)向其首席执行官发送邮件,并与Vice Media的一名记者合作,试图警告该公司有关入侵的消息。
尽管他做了这些尝试,但从未得到任何回应。
直到周一,另一名名为特洛伊·亨特(Troy Hunt)的安全研究人员才设法抓住了新闻头条博客关于它。
相反的观点
上述玩具以CloudPets品牌出售,家长和孩子可以通过这些毛绒玩具在互联网上发送语音信息。然而,亨特发现有证据表明,黑客洗劫了存储玩具客户登录信息的MongoDB数据库。
他说:“任何拥有这些数据的人都可以破解大量密码,登录账户,获取语音录音。”
为什么螺旋玩具公司不早点采取行动?该公司首席执行官马克·梅耶斯(Mark Meyers)周二表示,该公司已经检查了电子邮件收件箱,但没有发现任何来自安全研究人员的信息警告该漏洞。
然而,梅耶斯说,上周,Vice Media的一名记者就此事联系了该公司。
然而,螺旋玩具公司并没有与记者交谈。“我可以告诉你,我觉得他打算写一篇咒骂的文章。你为什么要补充呢?”梅耶斯周一在接受采访时说。
迈耶斯补充说:“我们研究了这个问题,认为这是一个非常小的问题。”
持续的关注
但是安全研究人员不同意这种说法。据亨特说,似乎有几名黑客已经从螺旋玩具公司掠夺了曝光的数据库。虽然泄露的密码是散列他说,在美国,破解这些密码很容易,因为许多密码都是用123456、qwerty和cloudpets等容易猜测的术语创建的。
在谈到螺旋玩具公司对此事的最初反应时,亨特说:“我对这种对父母和孩子隐私的漠不关心和完全漠视感到震惊。”
为了应对黑客入侵,迈耶斯公司周一表示,计划强制用户重置密码。但亨特质疑该公司为何没有更快地采取行动。
“当他们最初得知黑客入侵的时候,为什么不这么做?”为什么非要公开披露才能迫使他们这么做呢?他在电子邮件中问道。
吉弗斯在推特上说:“我想我已经尽力联系了。”然而,他仍然想和螺旋玩具公司谈谈,如何正确地告知他们的客户信息泄露的问题。
法律后果
像总部位于加州的螺旋玩具公司(Spiral Toys)这样的公司,根据州法律,需要报告涉及用户个人信息的数据泄露。但贝克·麦肯齐律师事务所(Baker McKenzie)的合伙人洛塔尔·迪特曼(Lothar detmann)说,对于一家公司来说,在报告漏洞之前需要几周或几个月来彻底调查,这是很正常的书关于加州隐私法
“企业有责任彻底调查违规行为,”他表示。这样一来,它们就可以避免错误的警报,而这些错误警报可能会不必要地吓到消费者,或者最终将商业伙伴推下巴士。
他拒绝评论任何具体的公司,但他也表示,加州的数据泄露法旨在让州居民可以向未能遵守数据泄露通知的公司索赔。此外,他说,州检察长还起诉了一些公司,因为它们没有在没有正当理由的情况下报告数据泄露。
原告能否胜诉则是另一回事。他说,要证明数据泄露造成了实际伤害,往往只是猜测。
螺旋玩具公司周二表示,一旦满足了客户的需求,该公司将在加州提交一份数据泄露报告。但该公司补充说,没有发现任何证据表明通过玩具系统录制的语音被泄露。
该公司在一份声明中称:“自2015年3月以来,CloudPet服务一直在安全运行,我们正在采取一切必要措施,继续在我们的生产服务器上安全运行。”