Werbung
Es war eine turbulente Zeit für die Lieferanten von elektronischen Lernprodukten für Kinder, VTech. Das in Hongkong ansässige Unternehmen kündigte Akquisitionspläne für Wettbewerber auf dem Direktmarkt an LeapFrog für 72 Millionen Dollarihren Marktanteil drastisch auszubauen und sich als einer der führenden Entwickler und Lieferanten von elektronischen Lernprodukten für Kinder zu positionieren. Leider verlief die Woche nicht wie geplant.
VTech aktualisierte seine Allgemeinen Geschäftsbedingungen nach einem großen Hack im Jahr 2015 und verlagerte die Verantwortung unverzüglich auf Eltern und Betreuer.
Was haben sie geändert? Was haben sie gesichert? Was solltest du tun
Was ist mit VTech passiert?
VTech wurden letzten November gehackt VTech wird gehackt, Apple hasst Kopfhörerbuchsen... [Tech News Digest]Hacker entlarven VTech-Benutzer, Apple erwägt, die Kopfhörerbuchse zu entfernen, Weihnachtslichter können Ihr WLAN verlangsamen, Snapchat geht mit (RED) ins Bett und erinnert sich an das Star Wars Holiday Special. Weiterlesen
Der Angreifer macht sich mit den Daten von über 4 Millionen Konten für Erwachsene und über 6 Millionen Konten für Kinder auf den Weg. Der Hack die persönlichen Daten ausgesetzt Fünf Möglichkeiten, um sicherzustellen, dass Ihre persönlichen Daten sicher bleibenIhre Daten sind Sie. Ob es sich um eine Sammlung von Fotos handelt, die Sie aufgenommen haben, Bilder, die Sie entwickelt haben, Berichte, die Sie geschrieben haben, Geschichten, die Sie sich ausgedacht haben, oder Musik, die Sie gesammelt oder komponiert haben, sie erzählt eine Geschichte. Beschütze es. Weiterlesen von jedem gefährdeten Konto, einschließlich Namen, E-Mail-Adressen, Passwörtern, geheimen Fragen und Antworten, IP-Adressen, Postanschriften und Download-Historien. Darüber hinaus wurde auch die App Store-Datenbank von VTech, Learning Lodge, kompromittiert.
Von hier aus wurden Daten wie Chat-Protokolle, persönliche Audiodateien und Fotos kompromittiert, von denen viele direkt den Kindern gehörten, die die Geräte verwendeten.
Sicherheitslücken
Der Hack wurde ursprünglich von Lorenzo Bicchierai entlarvt, der für das technologieorientierte Vice Magazine schrieb Hauptplatine Veröffentlichung. Nachdem der erste Artikel veröffentlicht worden war, wurde Bicchierai von der Person kontaktiert, die behauptete, den Hack durchgeführt zu haben, und die dem Journalisten sensible Fotos zur Überprüfung zur Verfügung stellte.
Anschließend lud Bicchierai den Informationssicherheitsspezialisten Troy Hunt ein, die bereitgestellten Daten zu analysieren, um zu bestätigen, ob das Leck legitim und kein Scherz war. Nach Bestätigung Hunt weiter seziert die Daten und veröffentlichten Details der Sicherheitslücken, die VTech betreffen. Die Sicherheitslücken waren, wie Hunt entdeckte, grausam.
Aufgrund von Objektreferenzfehlern konnten Benutzer leicht auf die Konten anderer zugreifen, indem sie URLs durchgingen. Das gesamte Hostsystem reagierte äußerst empfindlich auf jede Form der SQL-Injection.
"Kein SSL irgendwo... Alle Kommunikationen erfolgen über unverschlüsselte Verbindungen, einschließlich der Übertragung von Passwörtern, Elterndaten und vertraulichen Informationen über Kinder."
Er fand auch Passwörter, die mit einem einfachen MD5-Hash „verschlüsselt“ waren, ohne zu salzen oder sogar einen fortgeschrittenen Hashing zu sehen Algorithmus, was bedeutet, dass jeder mit sogar etwas fortgeschrittenen Computerkenntnissen sie wahrscheinlich in kurzer Zeit knacken würde Zeit.
Darüber hinaus wurden geheime Fragen und Antworten im Klartext ohne zusätzliche Sicherheitsmaßnahmen gespeichert. Hunt bemerkte auch die schlechte Qualität der Sicherheitsfragen wie "Was ist Ihre Lieblingsfarbe?" oder "Wo wurdest du geboren?" und andere ebenso einfach zu entdeckende Informationen.
Untergeordnete Benutzer
Sobald ein Elternteil sein Konto für Erwachsene erstellt hat, können untergeordnete Konten erstellt werden. Jedes Kinderkonto ist direkt mit dem Erwachsenenkonto verknüpft und kann einen eigenen Avatar, ein eigenes Geburtsdatum und ein eigenes Geschlecht hinzufügen.
Die Daten werden dann in einer selbstreferenzierenden Tabelle unter Verwendung einer "parent_id" gespeichert, um beide Konten wie folgt miteinander zu verknüpfen:
Dies bedeutet, dass mit den zusätzlichen Daten, die durch den Verstoß gesichert wurden, jedes einzelne Kind einfach mit seinem Elternteil abgeglichen werden kann, wobei seine Adressen zusammen mit unzähligen anderen persönlichen Informationen offengelegt werden.
Ändern Sie die AGB
Da wir so oft mit langwierigen Nutzungsvereinbarungen, Datenschutzerklärungen und Änderungen der Nutzungsbedingungen konfrontiert sind und die Bedingungen für Websites, Spiele, Dienste und mehr sind für die Sprache ein wenig blasiert gebraucht. Ich kann die Anzahl der AGB, durch die ich geklickt habe, absolut nicht zählen und frage mich, ob ich irgendwann meine Seele unterschrieben habe.
Sie würden das denken Standardantwort auf einen schwerwiegenden Datenverstoß Warum Unternehmen, die Verstöße geheim halten, eine gute Sache sein könntenBei so vielen Online-Informationen sorgen wir uns alle um mögliche Sicherheitsverletzungen. Aber diese Verstöße könnten in den USA geheim gehalten werden, um Sie zu schützen. Es klingt verrückt, also was ist los? Weiterlesen ist eine gründliche Untersuchung aller Sicherheitsmängel, die die Arbeit vielleicht bereits begrüßt von Fachleuten für Informationssicherheit ausgefüllt, die versuchen, sensible Daten in Bezug auf zu schützen Kinder.
Nicht für VTech.
Stattdessen aktualisierten sie ihre Allgemeinen Geschäftsbedingungen mit einer deutlich unappetitlichen Terminologie. In einem Abschnitt mit Überschriften Haftungsbeschränkung, Begriffe lauten:
"Sie erkennen an und stimmen zu, dass Informationen, die Sie während Ihrer Nutzung der Website senden oder empfangen, möglicherweise nicht sicher sind und von Unbefugten abgefangen oder später erfasst werden."
Es tut mir Leid. Was? Der Benutzer erklärt sich damit einverstanden, nicht böse zu sein oder das Unternehmen zur Verantwortung zu ziehen, wenn er erneut gehackt wird? Wie ein Unternehmen, das verantwortungsbewusst für jede Form von vernetztem Gerät wirbt, im Jahr 2016 die Last von verlagern kann Verantwortung auf ihre Benutzer in einem Szenario, in dem sie aktiv nach sensiblen Informationen suchen, ist jenseits von mir.
Absolved?
Auf keinen Fall. Noch vor ihren auf Geschäftsbedingungen basierenden Spielereien, die Büro des britischen Informationskommissars war Untersuchung der Datenverletzung Bleiben Sie mit den neuesten Datenlecks auf dem Laufenden - Befolgen Sie diese 5 Services und Feeds Weiterlesen , zusammen mit mehrere US-Bundesstaaten. In ähnlicher Weise bestätigte der Hongkonger Datenschutzbeauftragte Stephen Wong unmittelbar nach dem Verstoß seine Das Büro hatte eine „Konformitätsprüfung“ für VTech eingeleitet, um festzustellen, ob das Unternehmen die grundlegende Sicherheit eingehalten hatte Prinzipien.
Während ich diesen Artikel schrieb, bestätigte das UK Information Commissioners Office, dass die neuen Geschäftsbedingungen gegen geltendes britisches Recht verstoßen würden. Angabe:
"Das Gesetz ist klar, dass Organisationen, die mit personenbezogenen Daten von Personen umgehen, für die Sicherheit dieser Daten verantwortlich sind."
Was sollte man tun?
Ehrlich gesagt, bis nachgewiesen wurde, dass VTech seinen Sicherheitsbetrieb grundlegend überarbeitet hat, Verwenden Sie nicht ihre Produkte, einschließlich ihrer Website.
In Zukunft ist es vor dem Kauf eines vernetzten Kinderspielzeugs ratsam, eine schnelle Suche nach "[Produktname / Firmenname] + Sicherheit" durchzuführen, oder Sie können es versuchen "[Produktname / Firmenname] + Hack / Datenverletzung." Jede dieser Kombinationen zeigt schnell das Sicherheitswohl des Produkts, an das Sie übergeben möchten dein Kind.
Sicherheitsverletzungen werden passieren 3 Risiken für Ihre persönlichen Daten bei einem HotelaufenthaltEin Aufenthalt in einem Hotel kann sich als gefährlich für Ihre Datensicherheit erweisen. Wenn Sie nicht möchten, dass Ihre nächste Reise zu einem Alptraum für Identitätsdiebstahl wird, sollten Sie Folgendes beachten. Weiterlesen . Wir leben in einer massiv digitalisierten Welt, vertrauliche Informationen teilen Fünf Möglichkeiten, um sicherzustellen, dass Ihre persönlichen Daten sicher bleibenIhre Daten sind Sie. Ob es sich um eine Sammlung von Fotos handelt, die Sie aufgenommen haben, Bilder, die Sie entwickelt haben, Berichte, die Sie geschrieben haben, Geschichten, die Sie sich ausgedacht haben, oder Musik, die Sie gesammelt oder komponiert haben, sie erzählt eine Geschichte. Beschütze es. Weiterlesen über eine Vielzahl von Websites. Das müssen wir jedoch nicht Wirf uns in die Schusslinie Ist Online-Banking sicher? Meistens, aber hier sind 5 Risiken, die Sie kennen solltenOnline-Banking hat viel zu bieten. Es ist praktisch, kann Ihr Leben vereinfachen, Sie können sogar bessere Sparquoten erhalten. Aber ist Online-Banking so sicher und sicher, wie es sein sollte? Weiterlesen und ebenso haben wir das Recht zu erwarten ein bisschen Respekt 3 Online-Tipps zur Betrugsprävention, die Sie 2014 kennen müssen Weiterlesen zum Schutz unserer persönlichen Daten - geschweige denn der unserer Kinder.
Betroffen von der VTech-Verletzung? Oder können Sie mit einem Spielzeughersteller in der Welt der Vernetzung und Informationssicherheit sympathisieren? Lass es uns unten wissen!
Bildnachweis:Hacker Man von Tanberin über Shutterstock
Gavin ist Senior Writer bei MUO. Er ist außerdem Redakteur und SEO-Manager für MakeUseOfs kryptofokussierte Schwestersite Blocks Decoded. Er hat einen BA (Hons) für zeitgenössisches Schreiben mit Praktiken der digitalen Kunst, die aus den Hügeln von Devon geplündert wurden, sowie über ein Jahrzehnt Berufserfahrung im Schreiben. Er genießt reichlich Tee.
