不具合はすでに修正されており、IoT(モノのインターネット)向けのデバイスを販売する企業としては珍しく、情報公開が迅速で被害もなかった。
問題のぬいぐるみはモバイルアプリを使用して機能を拡張できるもので、Rapid7によると、いくつかのAPIがメッセージの送信元を正しく判別していなかった。つまり、ハッカーがユーザー名を予想できた場合、子供たちの名前や誕生日、性別、使用言語、使用したおもちゃの履歴などの個人情報を閲覧することができる状態だった。
また、ハッカーらが「おもちゃの通常の動作を妨害し、子供が意図していないような動作をさせることもできた」とフィッシャープライス(親会社は米大手玩具メーカーのマテル)はブログで説明した。同社はRapid7のリサーチャーMark Stanislavから2015年11月23日に不具合の指摘を受け、1月19日に修正した。
Rapid7は他にも子供向けのGPSウォッチhereOのAPIにも不具合があることを突き止めた。ハッカーがアカウントを作成して家族のグループに追加することができたため、家族の権限が必要なアクションを起こせたというものだ。アカウントが追加されると家族に通知メールが送られるが、これも改ざんできたという。現在と過去の位置情報を閲覧できる状態だったが、不具合は11月2日に報告され、12月15日に修正された。
hereOのCTOのEli Shemeshは「Rapid7の報告に感謝しているだけでなく、IoTコミュニティの貴重なサポートを有難く思っている。我々はユーザーの安全とセキュリティを脅かすいかなる不具合も例外なく許さないため、絶え間ない努力を続けている」と語る。さらに「今回の不具合は発見から4時間で修正された。当時はまだ発売前であったため子供が危険にさらされることはなかった」という。
Rapid7のセキュリティ・リサーチ・マネージャーTod Beardsleyは、2社が迅速かつ実害のない時点で不具合を公表したことに驚いているという。その理由は「2社ともVTechの二の舞になりたくなかったからだ」と説明する。香港の玩具メーカーVTechは昨年11月、不具合が原因で640万人の子供と480万人の保護者の個人情報を流出させた。ほかにも昨年はネットに接続可能なバービー人形の脆弱性も指摘されていた。
IoTデバイスのメーカーの中には問題が見つかっても発覚を恐れて修正しないメーカーもあるとBeardsleyは言う。だが、今回は2社ともすぐに対応した。子供に影響が及ぶセキュリティ侵害が度重なって起きたことで、玩具メーカーがより責任感を持つようになったのかもしれない。
