国外知名玩具制造商 Spiral Toys 近日被曝光其用于存储家长与孩子之间语音消息的服务器未设置任何安全措施，数百万条亲子对话、80 多万账号遭泄露。黑客可以直接黑入账号与独自在家的孩子进行对话，如果黑客意图不轨，将有可能对孩子的成长造成伤害。

根据美国漏洞曝光网站周一的消息，这家公司用于存储语音消息、注册邮箱和密码的服务器未设置密码，未设置防火墙，稍微懂点网络技术的人都可以访问这个服务器。去年 12 月 25 日和今年 1 月 8 日，这个服务器曾被多次入侵，黑客已经将所有数据下载备份。被曝光的服务器中有一个 Mongodb 数据库，里面包含了 82 万个账户信息。

最让人气愤的是，厂家明知已经出现了安全问题，却不作为。据这位安全人员，这家公司早就知道服务器遭攻击一事，随后修改了相关安全资料。但是此后却又被黑客入侵，说明黑客早已在数据库中加入了木马程序。

你还敢给自己的孩子买智能玩具吗？

2015 年 11 月，美国儿童平板电脑 Vtech 公司的服务器被入侵，500 万账户被窃取；2015 年 12 月，美泰公司生产的芭比娃娃被爆出漏洞，黑客可直接与儿童进行实时对话。

在本次报道的 Spiral Toys 中，虽然这家公司使用了亚马逊的云服务，对密码进行了 bcrypt 加密，但对于用户密码设置策略完全不经大脑思考，甚至允许用户设置「a」「qwe」「asd」「123456」等最容易破解的密码。安全人员这只用了短短的时间就破解了大量密码。

一旦黑客破解了密码，就可以与玩玩具的孩子进行实时的通话。对于心智还未成熟的儿童来说，他们极有可能听信从玩具里发出来的声音，然后伤害自己的身体或者做出一些违法犯罪的事情。

此类允许孩子与家长直接对话的玩具，可能因听取、收集儿童的声音可能触犯了某些隐私法律条款。上周，德国一家名为创世纪玩具的公司因为旗下智能玩具能录制儿童声音，被德国互联网监管部门列入黑名单，原因是玩具可能被被有用心的人利用，侵犯用户的隐私。目前这款玩具已经在德国禁售。

一方面是加入互联网功能的新玩具非常好玩，另一方面是新技术给儿童的童年可能带来的阴影。当家长准备为孩子购买这类玩具的时候，首先应该考虑这家公司的安全策略是否周全。在国外一些法律比较健全的国家，因为设备出事而起诉或许可以获得赔偿，但是在中国，如果服务器被入侵，除了厂商的一封道歉信，无他。