参议员调查CloudPets智能玩具数据泄露事件 美国多部门要求企业当月作出应急响应

3月1日， 黑客入侵泰迪熊并要求CloudPets支付赎金 事件，现在美国参议员正调查有关Spiral Toys公司的智能玩具的数据泄露报告，给该公司的首席执行官写了一封信，提出了有关数据泄露的十个问题，包括公司的安全实践。

CloudPets涉嫌违反《儿童在线隐私保护法》

Bill Nelson是佛罗里达州的一名民主党人，于周二给该玩具公司的首席执行官Mark Meyers写了一封信，谈到此次数据泄露对该公司如何保护其收集的信息，特别是儿童的信息，提出了严重质疑。Nelson称，

此次事件就该公司是否遵守《儿童在线隐私权保护法》提出了质疑。该法案要求公司有合理流程保护所收集的儿童信息的保密性、安全和完整性。

安全研究员Troy Hunt将Nelson的这封信分享到了Twitter上。Troy Hunt于2月28日在一篇博文中披露了此次数据泄露事件。

《儿童在线隐私保护法》

儿童在线隐私权保护法 （Children's Online Privacy Protection Act， COPPA ）于2000年4月21日申效，主要针对在线收集13岁以下儿童个人信息的行为。它规定网站管理者要遵守隐私规则，必须说明何时和如何以一种可以验证的方式向儿童家长索求同意，并且网站管理者必须保护儿童在线隐私和安全。

CloudPets品牌玩具发生数据泄露事件

CloudPets品牌的玩具可使家长和孩子通过互联网发送语音消息。Hunt发现了有关黑客劫持不安全的MongoDB数据库的证据。该数据库存储玩具客户的登录信息。 尽管该玩具公司对客户密码进行了哈希加密，但并未对密码强度提出严格要求，因此密码可能遭到窃取，录音也可能被访问。

Meyers表示，他在2月22日注意到了此数据泄露事件，另一研究员Victor Gevers称在12月底时联系该玩具厂商，讨论了此次事件。该玩具公司称录音并未遭到窃取。美国参议院商务、科学和运输委员会的高级官员Nelson要求Meyers在不晚于3月23日前对此事件作出响应。

泄露原因是因为 用户信息被存放到开放数据库中

在CloudPets这一事件中，据说该公司错误地将用户信息储存到了一个面向公众的在线MongoDB数据库中，这个数据库无需验证，可直接访问。如此一来，任何人（包括黑客）都可以查看甚至窃取数据。

乐观一点说，遭泄露的密码用bcrypt算法进行了哈希处理，很难破解。可是，根据Hunt上周获取的一份窃取数据，CloudPets对密码强度没有要求，这意味着即使是诸如“a”这样的单个字符也可以设为密码。