VTech spielt lose mit den Daten Ihrer Kinder
VTech, ein Anbieter von Produkten für elektronische Lernprodukte für Kinder, war eine turbulente Zeit. Das in Hongkong ansässige Unternehmen kündigte Akquisitionspläne für Wettbewerber mit direktem Markt an LeapFrog für 72 Millionen US-Dollar, indem sie ihren Marktanteil drastisch ausbauen und sich als einer der führenden Entwickler und Anbieter von elektronischen Lernprodukten für Kinder positionieren. Leider ging die Woche nicht wie geplant weiter.
VTech hat die Bedingungen nach einem großen Hack im Jahr 2015 überarbeitet und die Verantwortung für Eltern und Betreuer auf den Kopf gestellt, ohne dass darüber nachgedacht werden muss.
Was haben sie geändert? Was haben sie gesichert? Was solltest du tun??
Was ist mit VTech passiert??
VTech wurde im vergangenen November gehackt. VTech wird gehackt, Apple Hates-Kopfhörerbuchsen… [Tech News Digest] VTech wird gehackt, Apple-Hates-Kopfhörerbuchsen… [Tech News Digest] Hacker setzen VTech-Benutzer frei, Apple denkt, den Kopfhöreranschluss zu entfernen, Weihnachtslichter können langsamer werden Ihr Wi-Fi, Snapchat geht mit (RED) ins Bett und erinnert sich an das Star Wars Holiday Special. Lesen Sie mehr, der Angreifer macht sich mit den Daten von über 4 Millionen Erwachsenenkonten und über 6 Millionen Kinderkonten aus. Der Hack enthüllt die persönlichen Daten Fünf Möglichkeiten, um sicherzustellen, dass Ihre persönlichen Daten geschützt bleiben Fünf Möglichkeiten, um sicherzustellen, dass Ihre persönlichen Daten geschützt bleiben Ihre Daten sind Sie. Ob eine Sammlung von Fotos, die Sie aufgenommen haben, von Ihnen erstellte Bilder, von Ihnen erstellte Berichte, von Ihnen erfasste Geschichten oder von Musik, die Sie gesammelt oder komponiert haben, es erzählt eine Geschichte. Beschütze es. Lesen Sie mehr über jedes gefährdete Konto, einschließlich Namen, E-Mail-Adressen, Kennwörter, geheime Fragen und Antworten, IP-Adressen, Postanschriften und Download-Historien. Darüber hinaus wurde die App Store-Datenbank von VTech, Learning Lodge, kompromittiert.
Von hier aus wurden Daten, einschließlich Chat-Protokolle, persönliche Audiodateien und Fotos, gefährdet, von denen viele direkt den Kindern der Geräte gehörten.
Sicherheitslücken
Der Hack wurde anfangs von Lorenzo Bicchierai entlarvt, der für das auf Technologie basierende Vice-Magazin schrieb Hauptplatine Veröffentlichung. Nachdem der erste Artikel veröffentlicht worden war, wurde Bicchierai von der Person kontaktiert, die behauptete, den Hack ausgeführt zu haben, der dem Journalisten sensible Fotos zur Überprüfung zur Verfügung gestellt habe.
Bicchierai forderte dann den Informationssicherheitsspezialisten Troy Hunt auf, die bereitgestellten Daten zu analysieren, um zu bestätigen, dass das Leck rechtmäßig war, und nicht als Scherz. Nach der Bestätigung hat Hunt die Daten weiter seziert und Details zu den Schwachstellen veröffentlicht, die VTech betreffen. Die Schwachstellen waren, wie Hunt entdeckte, grausam.
Fehler bei Objektreferenzen führten dazu, dass Benutzer durch das Durchgehen von URLs problemlos auf die Konten anderer zugreifen konnten. Das gesamte Hostsystem war äußerst empfindlich für jede Form der SQL-Injektion.
“Kein SSL überall ... Alle Kommunikationen erfolgen über unverschlüsselte Verbindungen, einschließlich der Übertragung von Passwörtern, Angaben zu den Eltern und sensiblen Informationen über Kinder.”
Er fand auch Passwörter “verschlüsselt” mit einem einfachen MD5-Hash, ohne Salting oder gar den Anblick eines fortgeschrittenen Hash-Algorithmus, was bedeutet, dass jeder, der selbst etwas fortgeschrittene Computerkenntnisse hat, diesen wahrscheinlich in kurzer Zeit knacken könnte.
Darüber hinaus wurden geheime Fragen und Antworten ohne zusätzliche Sicherheitsmaßnahmen in Klartext gespeichert. Hunt bemerkte auch die schlechte Qualität der Sicherheitsfragen, wie z “Was ist deine Lieblingsfarbe?” oder “Wo wurdest du geboren?” und andere ebenso einfach zu entdeckende Informationen.
Untergeordnete Benutzer
Sobald ein Elternteil sein Erwachsenenkonto erstellt hat, können Kinderkonten erstellt werden. Jedes Kinderkonto ist direkt mit dem Erwachsenenkonto verknüpft und kann seinen eigenen Avatar, Geburtsdatum und Geschlecht hinzufügen.
Die Daten werden dann mit a in einer selbstreferenzierenden Tabelle gespeichert “Eltern ID” um beide Konten miteinander zu verknüpfen:
Das bedeutet, dass mit den zusätzlichen Daten, die in der Sicherheitsverletzung gesichert wurden, jedes einzelne Kind einfach an seine Eltern angepasst werden kann und seine Adressen zusammen mit Unmengen anderer persönlicher Informationen offenlegt.
Ändern Sie die AGB
Da wir häufig mit langwierigen Benutzervereinbarungen, Datenschutzerklärungen, Änderungen der Nutzungsbedingungen von Websites, Spielen, Diensten und vielem mehr konfrontiert sind, sind wir alle zu einer Blase der verwendeten Sprache geworden. Ich kann die Menge der AGB, die ich durchgeklickt habe, absolut nicht zählen und frage mich, ob ich irgendwann meine Seele unterschrieben habe.
Sie würden denken, die Standardreaktion auf einen großen Datenverstoß. Warum Unternehmen Verstöße geheim halten könnten, könnte eine gute Sache sein. Warum Unternehmen Verstöße geheim halten, könnte gut sein. Mit so vielen Informationen im Internet machen wir uns alle Sorgen über mögliche Sicherheitsverletzungen. Aber diese Verstöße könnten in den USA geheim gehalten werden, um Sie zu schützen. Es klingt verrückt, also was ist los? Read More ist eine robuste Untersuchung aller Sicherheitsmängel, die möglicherweise die bereits geleistete Arbeit von Informationssicherheitsexperten begrüßt, die versuchen, vertrauliche Daten über Kinder zu schützen.
Nicht für VTech.
Stattdessen haben sie ihre Bedingungen mit einer ausgesprochen unappetitlichen Terminologie aktualisiert. In einem Abschnitt mit Überschrift Haftungsbeschränkung, Begriffe lesen:
“Sie erkennen an und stimmen zu, dass alle Informationen, die Sie während Ihrer Nutzung der Website senden oder erhalten, möglicherweise nicht sicher sind und möglicherweise von Unbefugten abgefangen oder später abgerufen werden”
Es tut mir Leid. Was? Der Benutzer stimmt zu, nicht wütend zu sein oder die Firma zur Verantwortung zu ziehen, wenn sie erneut gehackt werden? Wie ein Unternehmen, das verantwortungsbewusst für jede Form von vernetzten Geräten verantwortlich ist, die Verantwortung in einem Szenario, in dem er aktiv nach sensiblen Informationen sucht, auf seine Nutzer verlagern kann, liegt mir nicht.
Aufgelöst?
Auf keinen Fall. Das britische Information Commissioner Office untersuchte bereits vor den Bedingungen, die sich auf Bedingungen und Bedingungen stützten, den Verstoß gegen die Daten. Mit den neuesten Datenlücken auf dem Laufenden bleiben - Folgen Sie diesen 5 Diensten & Feeds Mit den neuesten Datenlücken bleiben - Folgen Sie diesen 5 Diensten und Feeds Lesen Sie weiter , zusammen mit mehreren US-Bundesstaaten. In ähnlicher Weise bestätigte Stephen Wong, der Datenschutzbeauftragte der Stadt Hongkong, unmittelbar nach dem Verstoß ein Büro “Konformitätsprüfung” auf VTech, um festzustellen, ob das Unternehmen grundlegende Sicherheitsgrundsätze befolgt hat.
Während ich diesen Artikel schrieb, bestätigte das britische Information Commissioners Office, dass die neuen Bedingungen gegen geltendes britisches Recht verstoßen würden.
“Dem Gesetz zufolge ist es klar, dass Organisationen, die mit personenbezogenen Daten von Personen umgehen, für die Sicherheit dieser Daten verantwortlich sind”
Was tun?
Ehrlich gesagt, bis VTech ihre Sicherheitsmaßnahmen grundlegend überarbeitet hat, Verwenden Sie ihre Produkte einschließlich ihrer Website nicht.
Vor dem Kauf eines vernetzten Kinderspielzeugs wäre es in der Zukunft ratsam, schnell zu laufen “[Produktname / Firmenname] + Sicherheit” Suche, oder Sie könnten es versuchen “[Produktname / Firmenname] + Hack / Datenverletzung.” Jede dieser Kombinationen veranschaulicht schnell das Sicherheitsbedürfnis des Produkts, das Sie Ihrem Kind übergeben möchten.
Sicherheitsverletzungen werden passieren. 3 Risiken für Ihre persönlichen Daten bei einem Aufenthalt in einem Hotel 3 Risiken für Ihre persönlichen Daten bei einem Aufenthalt in einem Hotel Der Aufenthalt in einem Hotel kann für Ihre Datensicherheit gefährlich werden. Wenn Sie nicht möchten, dass Ihre nächste Reise zu einem Alptraum für Identitätsdiebstahl wird, sollten Sie Folgendes beachten. Weiterlesen . Wir leben in einer massiv digitalisierten Welt und teilen sensible Informationen. Fünf Möglichkeiten, um sicherzustellen, dass Ihre persönlichen Daten geschützt bleiben Fünf Möglichkeiten, um sicherzustellen, dass Ihre persönlichen Daten geschützt bleiben Ihre Daten sind Sie. Ob eine Sammlung von Fotos, die Sie aufgenommen haben, von Ihnen erstellte Bilder, von Ihnen erstellte Berichte, von Ihnen erfasste Geschichten oder von Musik, die Sie gesammelt oder komponiert haben, es erzählt eine Geschichte. Beschütze es. Lesen Sie mehr über eine Vielzahl von Websites. Wir müssen uns jedoch nicht in die Schusslinie stürzen. Ist Online Banking sicher? Meistens, aber hier gibt es 5 Risiken, die Sie kennen sollten. Ist Online-Banking sicher? Meistens, aber hier gibt es 5 Risiken, die Sie kennen sollten Es gibt viel zu mögen über das Online-Banking. Es ist praktisch, kann Ihr Leben vereinfachen, Sie können sogar bessere Einsparungen erzielen. Aber ist Online-Banking so sicher und sicher, wie es sein sollte? Lesen Sie mehr. Gleichermaßen haben wir das Recht, ein bisschen Respekt zu erwarten. 3 Tipps zur Online-Betrugsprävention, die Sie 2014 wissen sollten 3 Online-Tipps zur Betrugsprävention, die Sie 2014 wissen sollten Lesen Sie mehr zum Datenschutz unserer persönlichen Daten allein das unserer Kinder.
Betroffen von der VTech-Verletzung? Oder können Sie mit einem Spielzeughersteller in der Welt der Vernetzung und Informationssicherheit sympathisieren? Lass es uns unten wissen!
Bildnachweise: Hacker Man von Tanberin via Shutterstock
Erfahren Sie mehr über: Online-Datenschutz, Spielzeug.