Via apps kunnen ouders de poppen, die in 2015 gelanceerd werden, laten praten met hun kinderen. Al deze gesprekken werden opslagen op een cloudserver van Amazon, in plaats van op het apparaat waarop de app geïnstalleerd is. CloudPet verzuimde deze server goed te beveiligen. Daardoor konden met enige moeite gesprekken, foto's en e-mailgegevens worden gevonden in de database.



Volgens Hunt werd de database op een zeker moment gehackt en gijzelden hackers tijdelijk alle gegevens van gebruikers. Het zou zijn gegaan om meer dan 2 miljoen stemopnames. Pas als CloudPet een bepaald bedrag in bitcoins zou betalen, zouden ze de gegevens teruggeven. Uiteindelijk heeft de fabrikant zelf een back-up teruggezet. CloudPet heeft de gebruikers echter niet op de hoogte gesteld van het datalek.



Inmiddels zijn de gegevens niet meer op het internet te vinden. Toch waarschuwt Hunt dat gebruikers die hun CloudPet-wachtwoorden ook elders gebruiken dat niet meer te doen. De kans dat criminelen deze wachtwoorden hebben, is groot.



Het bedrijf heeft nog niet gereageerd op de inhoud van het rapport.