Куклы Барби, секс-игрушки и ещё 3 вещи, с помощью которых можно украсть данные их владельцев

Электрокары

«Хакеры дважды взломали Tesla, чтобы заработать миллион долларов» — под таким заголовком в январе 2024-го вышла новость об успехе команды Team Synacktiv на соревнованиях хакеров в Токио. Да, оказывается, есть и такие состязания. За три дня киберспециалистам удалось влезть в модем и информационно-развлекательную систему автомобиля. И хотя этот случай — сугубо интерес к процессу взлома, истории, когда данные пользователей электрокаров утекали в руки злоумышленников, уже случались.

Например, в феврале литовский сервис зарядки электромобилей Ignitis ON столкнулся с хакерской атакой. В результате данные около 20 000 клиентов были слиты в Сеть. Имена, адреса электронной почты, список токенов аутентификации и номерные знаки автомобилей — все эти сведения хранились в облаке. Руководство компании поспешило заверить, что пароли для входа в приложение (как и банковские сведения) не пострадали, но на всякий случай попросило пользователей сменить их.

К слову, проблема с паролями есть и в России. По последним данным, больше 4,5 миллиона человек используют для доступа к своим аккаунтам незамысловатую комбинацию «123456», на взлом которой требуется меньше секунды. Эксперты Регионального общественного центра интернет-технологий советуют придумывать надёжные пароли: не короче 10 символов, без простых последовательностей, но с использованием специальных символов и букв в разных регистрах.

Роботы-пылесосы

Кажется, заклеивать веб-камеру скотчем уже не имеет смысла, потому что скоро дом современного человека будет буквально напичкан устройствами слежения. Например, два года назад шуму наделала история с роботами-пылесосами, которые выгружали в облако фото своих владельцев, в том числе интимные. Больше всего пользователей возмутил снимок, где девушка сидела на унитазе. Пикантности истории придавал тот факт, что люди на фото знали о съёмке — они тестировали обучающиеся модели умных роботов с камерами, которые разработчики устанавливали для улучшения навигации по квартире. Однако снимки, предназначенные сугубо для корпоративного использования, всплыли в соцсетях, на что никто из «подопытных» не давал согласия.

Вообще, хакнуть реально любой гаджет, который работает благодаря интернету вещей. Смарт-кофеварки, датчики замков, колонки с ассистентами — всё это может быть использовано злоумышленниками. В 2016 году сотрудники Мичиганского университета совместно с Microsoft Research обнаружили уязвимость в платформе управления умным домом SmartThings. Она позволяла хакерам создавать собственные ключи для дверных замков пользователей. А это, как говорится, уже совсем другая история: от кражи кодов доступа в квартиру не так уж и далеко до реального ограбления. Учёные подчеркнули, что SmartThings не единственная компания, которая имеет дыры в системе управления. Поэтому рядовым пользователям стоит вдумчиво сопоставлять бонусы от использования смарт-продуктов с рисками безопасности. Особенно осторожными следует быть с теми девайсами, что обеспечивают доступ к жилью.

Куклы Барби

Ещё одна шпионская история произошла в 2016 году. В слежке за пользователями заподозрили Hello Barbie — тогдашнюю новинку рынка игрушек. Куклу оснастили модулем беспроводной связи, чтобы она могла общаться с детьми и отвечать на их вопросы как голосовой помощник. Американский исследователь безопасности Мэтт Якубовски обнаружил, что при подключении к Сети Барби была уязвима для взлома. Он без труда получил доступ к системной информации устройства, данным об учётной записи, сохранённым аудиофайлам, а ещё смог подключиться к микрофону куклы. Детская игрушка могла собирать конфиденциальную информацию о семье, записывать и анализировать личные разговоры ребёнка. И что хуже —​получать доступ к другим девайсам, подключённым к домашней сети Wi-Fi.

Фитнес-трекеры

Серьёзная утечка с таких устройств случилась в 2021 году. Была взломана сторонняя платформа, которая получала данные практически от всех поставщиков носимых трекеров: FitBit, Apple, Microsoft, Google. В результате были раскрыты более чем 60 миллионов записей. Кроме информации о физическом состоянии пользователей, база содержала и конфиденциальные сведения: имена, локации, даты рождения.

Проблема вскрылась не сразу. Исследователи не могут сказать, сколько времени база данных пролежала в открытом доступе, прежде чем её заметили и стали принимать меры. Однако они подчёркивают, что характер информации довольно чувствительный. Сведения о здоровье — ходовой товар в даркнете, а медицинские записи могут стоить сотни долларов каждая. Получив их, злоумышленники могут разрабатывать «схемы доверия» для телефонного мошенничества или банально шантажировать пользователей по поводу деликатного состояния их здоровья.

Секс-игрушки

В неприятную историю попал разработчик популярного парного девайса We-Vibe 4 Plus. По задумке производителя, игрушкой можно было управлять с помощью мобильного приложения: удалённо подключать и настраивать индивидуальные сценарии стимуляции. По иронии судьбы, главная фишка гаджета стала его ахиллесовой пятой. Во-первых, приложение собирало данные пользователей. Во-вторых, программный код оказался не таким уж надёжным — об этом рассказали два участника тематической хакерской конференции в Лас-Вегасе.

В итоге выяснилось, что почти 2 миллиона пользователей игрушки в течение нескольких лет принимали участие в «исследовании», на которое подписались практически случайно: соглашение о конфиденциальности никто из них, скорее всего, не читал. Условия использования We-Vibe 4 Plus не содержали чёткой информации о том, какие именно данные собирает приложение, но оговаривали право производителя передавать их властям. В некоторых странах мастурбация до сих пор вне закона, поэтому подобная опция не выглядит такой уж невинной.