为什么这么多玩具容易受到黑客攻击？

我一直希望我们已经达到了易受攻击的小玩意的峰值，却听到了另一个不安全的设备。尤其是玩具继续被暴露为隐私和安全的噩梦，任何人只要有一点调查的愿望都可以发现。本周，在玩具隐私噩梦中，一家名为Spiral Toys的公司被发现在网上曝光了80万个用户帐户凭据，以及200万条语音留言录音。...

我一直希望我们已经达到了易受攻击的小玩意的峰值，却听到了另一个不安全的设备。尤其是玩具继续被暴露为隐私和安全的噩梦，任何人只要有一点调查的愿望都可以发现。本周，在玩具隐私噩梦中，一家名为Spiral Toys的公司被发现在网上曝光了80万个用户帐户凭据，以及200万条语音留言录音。

该公司的CloudPets产品线包括互联网连接的泰迪熊（tedybears），它将用户凭证存储在一个数据库中，该数据库没有密码保护，也没有防火墙保护。安全研究人员通过Shodan发现了MongoDB，Shodan是一个搜索引擎，用于查找易受攻击的网站和服务器。他们的工作得到了主板的独立验证。当然，如果安全研究人员发现了那个数据库，那么恶意参与者也完全有可能——而且很可能——发现了。

CloudPets只是一长串易受攻击的玩具中的另一个名字，包括Cayla娃娃、Hello芭比娃娃和VTech的玩具。在这一点上，不安全的小玩意和玩具是例行公事，这可能会让你问为什么建立一个安全的，连接的设备如此困难。原因各不相同，但在很大程度上，这与金钱和匆忙的安全措施有关。

正如我以前写的关于连接的小工具，构建安全的东西并不容易。它需要一个专门的团队，他们知道自己在做什么，支付这些人的钱，以及周到的考虑。在CloudPets的案例中，它的母公司在财务上举步维艰。安全研究员特洛伊·亨特（Troy Hunt）揭露了这个数据库，他指出，它的每股价值不到半美分。这也可以解释为什么公司没有回应亨特和主板的多次置评请求。

在其他情况下，比如Hello Barbie，与其说娃娃不安全，不如说是一家玩具公司（Mattel）收集了大量关于孩子的数据。这在财政上可能是有利的，但肯定不能让父母放心。亨特在他的博客中写道：“代表数据保管人只需犯一个小错误——比如错误配置数据库安全性——他们掌握在你和你家人身上的每一条数据都可以在短短几分钟内进入公共领域。”

好消息是，这些玩具确实需要家长的许可才能开始收集数据。通常，这是通过一个配套的智能**应用程序提供的。在购买玩具时，父母应该仔细阅读隐私政策，弄清楚公司保留了哪些数据。他们会卖给第三方吗？它在设备上保持本地吗？

互联玩具具有吸引力：它们可以与你的孩子互动，提供信息，通常听起来很酷的想法。但与普通玩具相比，它们会带来一系列风险。会说话的芭比娃娃或互动泰迪熊真的值得吗？