パスワードにはBcryptハッシュが使われていたものの、非常に短い文字列や安易なパスワードが大多数を占めることから、簡単にパスワードをクラッキングしてアカウントにログオンし、記録された音声を引き出すことができる状態だったとハント氏は指摘。既にこの問題を見つけてデータを引き出していた人物は多数いると推定し、「親子の親密な会話が何人もの手に渡っていたと思われる」という。
さらに詳しく調べた結果、MongoDBにあるCloudPetsのデータが何度も不正アクセスされた後に削除され、複数回にわたって身代金を要求されていた形跡も見つかった。MongoDBについては同じような形で不正アクセスされ、身代金を要求される被害の続出が報告されているそうだ。
つながる玩具を巡っては、ドイツで販売されていたおしゃべり人形の「Cayla」について、子供との会話が外部に流出する恐れがあるとして、販売が禁止された事例もある。「ほかにも多数のつながる玩具に深刻な脆弱性が存在しているのは間違いない。必然的に、一部は既に不正アクセスされ、メーカーや保護者の知らないうちにデータが盗まれているかもしれない」とハント氏は警鐘を鳴らしている。
Copyright © ITmedia, Inc. All Rights Reserved.