國外知名玩具制造商 Spiral Toys 近日被曝光其用于存儲家長與孩子之間語音消息的服務器未設置任何安全措施，數百萬條親子對話、80 多萬賬號遭泄露。黑客可以直接黑入賬號與獨自在家的孩子進行對話，如果黑客意圖不軌，將有可能對孩子的成長造成傷害。

      根據美國漏洞曝光網站周一的消息，這家公司用于存儲語音消息、注冊郵箱和密碼的服務器未設置密碼，未設置防火墻，稍微懂點網絡技術的人都可以訪問這個服務器。去年 12 月 25 日和今年 1 月 8 日，這個服務器曾被多次入侵，黑客已經將所有數據下載備份。被曝光的服務器中有一個 Mongodb 數據庫，里面包含了 82 萬個賬戶信息。

      最讓人氣憤的是，廠家明知已經出現了安全問題，卻不作為。據這位安全人員，這家公司早就知道服務器遭攻擊一事，隨后修改了相關安全資料。但是此后卻又被黑客入侵，說明黑客早已在數據庫中加入了木馬程序。

你還敢給自己的孩子買智能玩具嗎？

2015 年 11 月，美國兒童平板電腦 Vtech 公司的服務器被入侵，500 萬賬戶被竊??；2015 年 12 月，美泰公司生產的芭比娃娃被爆出漏洞，黑客可直接與兒童進行實時對話。

      在本次報道的 Spiral Toys 中，雖然這家公司使用了亞馬遜的云服務，對密碼進行了 bcrypt 加密，但對于用戶密碼設置策略完全不經大腦思考，甚至允許用戶設置「a」「qwe」「asd」「123456」等最容易破解的密碼。安全人員這只用了短短的時間就破解了大量密碼。

一旦黑客破解了密碼，就可以與玩玩具的孩子進行實時的通話。對于心智還未成熟的兒童來說，他們極有可能聽信從玩具里發出來的聲音，然后傷害自己的身體或者做出一些違法犯罪的事情。

      此類允許孩子與家長直接對話的玩具，可能因聽取、收集兒童的聲音可能觸犯了某些隱私法律條款。上周，德國一家名為創世紀玩具的公司因為旗下智能玩具能錄制兒童聲音，被德國互聯網監管部門列入黑名單，原因是玩具可能被被有用心的人利用，侵犯用戶的隱私。目前這款玩具已經在德國禁售。

      一方面是加入互聯網功能的新玩具非常好玩，另一方面是新技術給兒童的童年可能帶來的陰影。當家長準備為孩子購買這類玩具的時候，首先應該考慮這家公司的安全策略是否周全。在國外一些法律比較健全的國家，因為設備出事而起訴或許可以獲得賠償，但是在中國，如果服務器被入侵，除了廠商的一封道歉信，無他。