VTech speelt los met de gegevens van uw kinderen

Het was een tumultueuze tijd voor leveranciers van elektronische leerproducten voor kinderen, VTech. Het in Hongkong gevestigde bedrijf kondigde acquisitieplannen voor directe concurrent aan LeapFrog voor $ 72 miljoen, waarmee ze hun marktaandeel en positionering drastisch hebben uitgebreid als een van de belangrijkste ontwikkelaars en leveranciers van elektronische leerproducten voor kinderen. Helaas verliep de week niet zoals gepland.

VTech heeft hun algemene voorwaarden bijgewerkt na een grote hack in 2015, waarbij de verantwoordelijkheid voor ouders en verzorgers overduidelijk werd veranderd zonder een moment te hoeven nadenken.

Wat zijn ze veranderd? Wat hebben ze beveiligd? Wat moet je doen??

Wat is er gebeurd met VTech?

VTech werd afgelopen november gehackt VTech wordt gehackt, Apple Hates hoofdtelefoonaansluiting ... [Tech News Digest] VTech wordt gehackt, Apple Hates Hoofdtelefoonaansluitingen ... [Tech News Digest] Hackers stellen VTech-gebruikers bloot, Apple overweegt de koptelefoonaansluiting te verwijderen, kerstverlichting kan trager worden je wifi, Snapchat gaat naar bed met (RED) en herinnert zich The Star Wars Holiday Special. Meer lezen, de aanvaller maakt gebruik van de gegevens van meer dan 4 miljoen accounts voor volwassenen en meer dan 6 miljoen onderliggende accounts. De hack onthulde de persoonlijke gegevens Vijf manieren om ervoor te zorgen dat uw persoonlijke gegevens veilig blijven Vijf manieren om ervoor te zorgen dat uw persoonlijke gegevens veilig blijven Uw gegevens zijn u. Of het nu gaat om een ​​verzameling gemaakte foto's, afbeeldingen die je hebt ontwikkeld, verslagen die je hebt geschreven, verhalen die je hebt bedacht of muziek die je hebt verzameld of gecomponeerd, het vertelt een verhaal. Bescherm het. Lees meer over elk aangetast account, inclusief namen, e-mailadressen, wachtwoorden, geheime vragen en antwoorden, IP-adressen, postadressen en downloadgeschiedenis. Daarnaast is ook de app store-database van VTech, Learning Lodge, gecompromitteerd.

Vanaf hier kwamen gegevens, waaronder chatlogs, persoonlijke audiobestanden en foto's in het gedrang, waarvan vele rechtstreeks toebehoorden aan de kinderen die de apparaten gebruikten.

kwetsbaarheden

De hack werd aanvankelijk onthuld door Lorenzo Bicchierai, die schreef voor het technologie-gerichte van het Vice-tijdschrift moederbord publicatie. Nadat het eerste artikel was gepubliceerd, werd Bicchierai gecontacteerd door de persoon die beweerde de hack te hebben uitgevoerd, die gevoelige foto's aan de journalist ter verificatie had verstrekt.

Bicchierai nodigde vervolgens informatiebeveiligingsspecialist Troy Hunt uit om de verstrekte gegevens te analyseren om te bevestigen dat het lek legitiem was, in plaats van een hoax. Na bevestiging ontleedte Hunt verder de gegevens en publiceerde details over de kwetsbaarheden die van invloed zijn op VTech. De kwetsbaarheden, zoals Hunt ontdekte, waren afschuwelijk.

Foutjes in de objectverwijzing betekenden dat gebruikers eenvoudig toegang hadden tot de accounts van anderen door door URL's te stappen, het hele hostsysteem was uiterst gevoelig voor elke vorm van SQL-injectie en er was:

“Overal geen SSL ... Alle communicatie verloopt via niet-versleutelde verbindingen, inclusief wanneer wachtwoorden, oudergegevens en gevoelige informatie over kinderen worden verzonden.”

Hij vond ook wachtwoorden “versleutelde” met een eenvoudige MD5-hash, zonder zouten of zelfs met een geavanceerd hashing-algoritme, wat betekent dat iedereen met zelfs enigszins geavanceerde computervaardigheden ze waarschijnlijk in korte tijd zou kunnen vernietigen.

Verder zijn geheime vragen en antwoorden opgeslagen in platte tekst, zonder extra beveiligingsmaatregelen. Hunt merkte ook de slechte kwaliteit van de beveiligingsvragen op, zoals “Wat is je favoriete kleur?” of “Waar ben je geboren?” en andere even eenvoudig te ontdekken informatie.

Kind-gebruikers

Zodra een ouder zijn volwassen account heeft aangemaakt, kunnen onderliggende accounts worden aangemaakt. Elk onderliggende account is rechtstreeks gekoppeld aan het account voor volwassenen en ze kunnen hun eigen avatar, geboortedatum en geslacht toevoegen.

De gegevens worden vervolgens opgeslagen in een tabel met zelfverwijzingen met behulp van a “ouder ID” om beide accounts aan elkaar te koppelen, zoals zo:

Dit houdt in dat met de extra gegevens die in de inbreuk zijn vastgelegd, elk kind eenvoudig kan worden gekoppeld aan zijn of haar ouders, waarbij hun adressen en vele andere persoonlijke gegevens worden vermeld..

Verander de T & C

Omdat we zo vaak worden geconfronteerd met langdurige gebruikersovereenkomsten, privacyverklaringen, wijzigingen in de algemene voorwaarden van websites, games, services en meer, zijn we allemaal een beetje blasé geworden voor de gebruikte taal. Ik kan absoluut niet tellen hoeveel T & C ik heb doorgeklikt en vraag me af of ik op een gegeven moment mijn ziel heb ondertekend.

Je zou denken dat de standaard reactie op een grote datalek Waarom bedrijven een geheim blijven overtreden een goede zaak kan zijn Waarom bedrijven een goed geheim houden, kan een goede zaak zijn Met zoveel informatie online, maken we ons allemaal zorgen over mogelijke beveiligingsinbreuken. Maar deze overtredingen kunnen geheim worden gehouden in de VS om u te beschermen. Het klinkt gek, dus wat is er aan de hand? Read More is een degelijk onderzoek naar alle beveiligingsproblemen, misschien wel ingenomen met het werk dat reeds is uitgevoerd door informatiebeveiligingsprofessionals die proberen gevoelige gegevens met betrekking tot kinderen te beschermen.

Niet voor VTech.

In plaats daarvan hebben ze hun algemene voorwaarden bijgewerkt met duidelijk onsmakelijke terminologie. In een sectie met een kop Beperking van de aansprakelijkheid, voorwaarden lezen:

“U erkent en gaat ermee akkoord dat alle informatie die u verzendt of ontvangt tijdens uw gebruik van de site mogelijk niet veilig is en kan worden onderschept of later verkregen door onbevoegde partijen”

Mijn excuses. Wat? De gebruiker gaat ermee akkoord niet boos te zijn of het bedrijf verantwoordelijk te houden als ze opnieuw worden gehackt? Hoe kan elke onderneming die op de een of andere manier een netwerkapparaat op een verantwoorde manier promoot, in 2016 de last van de verantwoordelijkheid naar hun gebruikers verplaatsen in een scenario waarin ze actief op zoek zijn naar gevoelige informatie die mij te buiten gaat?.

vrijgesproken?

Echt niet. Nog vóór hun op voorwaarden en condities gebaseerde pesterijen, onderzocht het Britse Information Commissioner's Office de datalek Keep Up with The Latest Data Leaks - Follow These 5 Services & Feeds Blijf op de hoogte van de nieuwste datalekken - Volg deze 5 Services & Feeds Lees Meer , samen met meerdere rechtsgebieden in de VS. Evenzo bevestigde Hong Kong Privacy Commissioner Stephen Wong in de onmiddellijke nasleep van de inbreuk dat zijn kantoor een initiatief had genomen “nalevingscontrole” op VTech om te beoordelen of het bedrijf zich aan de basisbeveiligingsbeginselen had gehouden.

Toen ik dit artikel aan het schrijven was, bevestigde het UK Information Commissioners Office dat de nieuwe bepalingen en voorwaarden in tegenspraak zouden zijn met de huidige Britse wetgeving, met vermelding van:

“De wet is duidelijk dat het organisaties zijn die omgaan met persoonlijke gegevens van mensen die verantwoordelijk zijn voor het beveiligen van die gegevens”

Wat zou je moeten doen?

Eerlijk gezegd, tot bewezen is dat VTech hun beveiligingsoperatie aanzienlijk heeft herzien, gebruik hun producten, inclusief hun website, niet.

In de toekomst zou het verstandig zijn om snel een netwerk te spelen voordat een kindersnipet op een netwerk wordt gekocht “[productnaam / bedrijfsnaam] + beveiliging” zoeken, of je zou het kunnen proberen “[productnaam / bedrijfsnaam] + hack / datalink.” Al deze combinaties illustreren snel het beveiligingslevel van het product dat u aan uw kind wilt geven.

Beveiligingsinbreuken gaan gebeuren 3 Risico's voor uw persoonlijke gegevens bij een verblijf in een hotel 3 Risico's voor uw persoonlijke gegevens bij een verblijf in een hotel Een verblijf in een hotel kan gevaarlijk zijn voor uw gegevensbeveiliging. Als u niet wilt dat uw volgende reis verandert in een identiteitsdiefstalmerrie, zijn hier enkele dingen om rekening mee te houden. Lees verder . We leven in een enorm gedigitaliseerde wereld en delen gevoelige informatie. Vijf manieren om ervoor te zorgen dat uw persoonlijke gegevens veilig blijven Vijf manieren om ervoor te zorgen dat uw persoonlijke gegevens veilig blijven Uw gegevens zijn u. Of het nu gaat om een ​​verzameling gemaakte foto's, afbeeldingen die je hebt ontwikkeld, verslagen die je hebt geschreven, verhalen die je hebt bedacht of muziek die je hebt verzameld of gecomponeerd, het vertelt een verhaal. Bescherm het. Lees meer over een groot aantal sites. We hoeven ons echter niet in de vuurlinie te storten. Is online bankieren veilig? Meestal, maar hier zijn 5 risico's die u moet weten Is online bankieren veilig? Meestal, maar hier zijn 5 risico's die u moet weten Er is veel te leuk over online bankieren. Het is handig, kan je leven vereenvoudigen, je kunt zelfs betere spaarpercentages krijgen. Maar is online bankieren zo veilig en veilig als het zou moeten zijn? Lees meer, en we hebben ook recht op een beetje respect 3 Online fraudebestendigheidstips die u moet weten in 2014 3 Online fraudepreventie Tips die u moet kennen in 2014 Lees meer over de privacy van onze persoonlijke gegevens - laat alleen dat van onze kinderen.

Beïnvloed door de VTech-inbreuk? Of kun je meevoelen met een speelgoedmaker in de wereld van netwerken en informatiebeveiliging? Laat het ons hieronder weten!

Afbeelding Credits: Hacker Man van tanberin via Shutterstock

Ontdek meer over: Online Privacy, Speelgoed.