Om du äger ett uppkopplat kramdjur från märket Cloudpets kan det vara läge att byta lösenord. För leksaken som kan skicka och ta emot röstmeddelanden har varit inblandat i ett stort dataintrång, som kan påverka upp emot 800 000 användare.

Det var säkerhetsforskaren Troy Hunt som upptäckte dataintrånget i måndags, enligt honom verkar det som att hackarna kommit över både e-postadresser och lösenordshashar. Information som de sedan ska ha försökt använda för att utpressa Spiral Toys, företaget bakom Cloudpets, på pengar.

Läs också: Massiv våg av hack mot MongoDB-databaser – 1 800 drabbade

Men det är inte lösenord och e-postadresser som oroar säkerhetsexperterna mest, utan den stora oron ligger i huruvida hackarna även kommit över några röstmeddelanden. Men det är något som företaget bakom kramdjuren förnekar.

– Blev röstinspelningar stulna? Absolut inte, säger Mark Myers, vd för Spiral Toys, till IDG News.

Enligt Troy Hunt belyser intrånget faran med uppkopplade föremål och hur slarvigt maskinernas data kan lagras. När det kommer till Cloudpets lagrades användarinformationen på en publik Mongodb-databas som inte krävde någon autentisering för att nå.

De stulna lösenorden var förvisso krypterade med en bcrypt-algoritm, men Cloudpets i sin tur hade inga som helst krav på att användarnas lösenord skulle uppnå ett visst skyddsvärde. Vilket betyder att ett lösenord bestående av en enda bokstav hade godkänts.

Troy Hunt, som själv har kommit över de stulna lösenorden, säger sig ha knäckt några av dem enbart via enkla körningar på standardlösenord som ”123456” och ”qwerty”.

Läs också: Vi verkar aldrig bli av med lösenorden – tvärt om blir de bara fler och fler

”Alla med den här informationen kan lösa ett stort antal lösenord, logga in och ta röstmeddelanden”, skriver Hunt i en bloggpost.

En annan säkerhetsexpert som kommit över dataintrånget mot Cloudpets är Victor Gevers, vid GDI foundation. Precis som Troy Hunt säger Gevers sig ha försökt att kontakta Spiral Toys om det stora intrånget men aldrig fått något svar. Något som Spiral Toys förnekar.

– Rubrikerna som säger att två miljoner meddelanden läckt ut på internet är helt falska, säger Mark Myers.

Enligt honom fick företaget först upp ögonen för intrånget sedan en reporter från Vice media kontakt dem.

– Vi undersökte saken och tyckte att det var ett väldigt litet problem, säger han.

När det kommer till lösenordskraven för nallebjörnarna anser Myers att det är en hårfin gräns för vad som är för mycket.

– Vi måste hitta en balans. Hur mycket är för mycket?

Läs också: Säkerhetshål i Samsung-webbkameror – hackare kan ta över kontrollen

Sedan intrånget har Spiral Toys outsourcat sina servrar, och om man får tro företaget själva ska säkerheten nu vara bättre. Företaget säger även att de funderar på att implementera starkare lösenordskrav för sina användare.