Qui avisa no és traïdor
Aquesta passada campanya nadalenca trobem en els mitjans com el País o 20 minuts , Diferents articles referents a joguines que tenien com a element diferenciador, la capacitat de gravar converses per posteriorment, oferir interacció amb aquestes.
En aquests articles dels mitjans s’advertia el risc potencial d’aquesta recollida de dades en forma de converses dels petits. Un usuari amb un nivell avançat, podria guanyar accés a aquests registres i tenir a disposició aquest tipus de dades. A priori no sembla que puguin causar cap mal, però poden ser usats per a simular falsos segrestos entre altres casos que no arribem ni a imaginar. El mètode de treball no difereix gaire de serveis com Siri o Google Now, en el qual es grava la nostra veu per realitzar operacions sobre el dispositiu.
Exposició de dades personals en joguines
El cas que ens trobem s’esmenta i analitza amb profunditat en https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/[Inglés] era la pitjor de les expectatives possibles.
Cal destacar que en els Estats Units, no disposen de una llei parella a la Llei de Protecció de Dades Personals (LOPD), sinó que cada estat té regulacions diferents per estat i en algun cas poden contradir-se entre elles.
Per posar-nos en context, la joguina en qüestió es tracta d’un peluix on els pares i familiars autoritzats li poden deixar missatges als nens perquè aquests puguin rebre’ls mentre ens trobem a la feina o ens trobem lluny d’ells. L’empresa CloudPets, a causa d’unes pèssimes mesures de seguretat i implementació de el servei, ha causat l’exposició de les dades dels seus clients, incloent les seves adreces de correu electrònic i prop de 2,2 milions de registres d’àudio de pares i familiars amb els seus fills.
conclusions
Deixant de banda el treball d’enginyeria de programari i seguretat aplicada és digna d’un novell, suposa un seriosa violació del principi de privacitat que una joguina per a nens hauria de tenir. L’accés a aquestes dades és tan senzill com introduir la url associada a el recurs i sense cap tipus d’impediment tindrem accés a aquest.
En resum i per no allargar més, regulacions de protecció de dades personals com les que disposem a Europa i Espanya, amb la LOPD poden semblar des del punt de vista de les empreses una molèstia. Un tramiti burocràtic que podem realitzar sense més objectiu que el d’evitar possibles multes complint amb el mínim i oblidar-nos d’aquest fins a la següent revisió.
La protecció de dades personals s’ha d’incorporar a tots els nivells en la nostra activitat productiva ja que ens beneficia a tots. Un llorigó com el que ens trobem en aquesta empresa de joguines, a part de ser mereixedora de la multa corresponent, mai hauria d’haver-se arribat a produir si en aquesta empresa nord-americana s’hagués aplicat un protocol com el que disposem al nostre país amb la LOPD.
En dor Team Soft SL, disposem d’un equip d’experts que poden assessorar-lo en els seus projectes, informàtics o no, en el moment d’aplicar les mesures de seguretat informàtiques que la seva empresa requereix, segons el nivell de confidencialitat de les dades tractades. Consulteu-nos sense compromís
0 Comments