สองสัปดาห์ก่อนประเทศเยอรมันสั่งห้ามขายตุ๊กตา Cayla อ้างเพราะมีอุปกรณ์เข้าข่ายจารกรรมข้อมูล ด้วยห่วงความเป็นส่วนตัวของผู้ใช้งาน มาวันนี้ เหตุการณ์ลักษณะคล้ายกันเกิดขึ้นแล้วครับ แต่แย่กว่าตรงที่เกิดความเสียหายขึ้นแล้วจริงๆ

ในอเมริกามีบริษัทที่ชื่อ CloudPets ที่ขายตุ๊กตาหมีไฮเทคสำหรับเด็กๆ สำหรับผู้ปกครองสามารถอัดเสียงตัวเองผ่านแอพบนสมาร์ทโฟนส่งไปยังตุ๊กตาหมีผ่านระบบคลาวด์ รวมทั้งเด็กๆ สามารถอัดเสียงตัวเองสั้นๆ ที่ตัวตุ๊กตา ส่งไปหาผู้ปกครองผ่านแอพบนสมาร์ทโฟนได้

นักวิจัยด้านความปลอดภัยที่ชื่อ Troy Hunt รายงานว่า ระบบหลังบ้านของ CloudPets ไม่ปลอดภัย ส่งผลบัญชีผู้ใช้งานกว่า 8.2 แสนรายรวมถึงไฟล์เสียงจำนวนกว่า 2.2 ล้านไฟล์ตกอยู่ในความเสี่ยง

ก่อนหน้านี้นักวิจัยพยายามติดต่อบริษัทเพื่อแจ้งช่องโหว่อยู่หลายครั้งแต่ก็ไม่มีการตอบกลับ จนเข้าสัปดาห์ที่ 2 ก็พบว่ามีคนร้ายเรียกค่าไถ่ข้อมูลมากกว่าหนึ่งราย และกว่าจะปิดกั้นการเข้าถึงตัว MongoDB จากภายนอกก็เข้าไปสัปดาห์ที่ 3 และจนบัดนี้ก็ไม่มีการแจ้งเตือนผู้ใช้งานหลังมีการโดนเรียกค่าไถ่ข้อมูล

จากรายงานชี้ให้เห็นคือความไม่คำนึงด้านความปลอดภัยในการออกแบบ รวมถึงไม่มีกระบวนการในการรับมือกับเหตุช่องโหว่ด้านความปลอดภัยที่ดีพอ ใครที่สนใจเรื่องคลาวด์แนะนำให้อ่านรายละเอียดการค้นพบจากที่มาครับ

ที่มา: Troy Hunt via Android Police, CNN