Advertentie

Het is een tumultueuze tijd geweest voor VTech, leveranciers van elektronische leerproducten voor kinderen. Het in Hong Kong gevestigde bedrijf heeft acquisitieplannen aangekondigd voor directe marktconcurrenten LeapFrog voor $ 72 miljoen, hun marktaandeel drastisch vergroten en zichzelf positioneren als een van de belangrijkste ontwikkelaars en leveranciers van elektronische leerproducten voor kinderen. Helaas verliep de week niet zoals gepland.

VTech heeft hun algemene voorwaarden bijgewerkt na een grote hack in 2015, waarbij de verantwoordelijkheid voor ouders en verzorgers overduidelijk zonder nadenken is verschoven.

Wat is er veranderd? Wat hebben ze beveiligd? Wat moet je doen?

Wat is er met VTech gebeurd?

VTech werd afgelopen november gehackt VTech wordt gehackt, Apple haat hoofdtelefoonaansluitingen... [Tech News Digest]Hackers stellen VTech-gebruikers bloot, Apple overweegt de koptelefoonaansluiting te verwijderen, kerstverlichting kan je wifi vertragen, Snapchat gaat in bed met (RED) en herinnert zich The Star Wars Holiday Special. Lees verder

, de aanvaller die aan de slag ging met de gegevens van meer dan 4 miljoen volwassen accounts en meer dan 6 miljoen kinderaccounts. De hack de persoonlijke gegevens blootgelegd Vijf manieren om ervoor te zorgen dat uw persoonlijke gegevens veilig blijvenU bent uw gegevens. Of het nu gaat om een ​​verzameling foto's die je hebt gemaakt, afbeeldingen die je hebt ontwikkeld, rapporten die je hebt geschreven, verhalen die je hebt bedacht of muziek die je hebt verzameld of gecomponeerd, het vertelt een verhaal. Bescherm het. Lees verder van elk gecompromitteerd account, inclusief namen, e-mailadressen, wachtwoorden, geheime vragen en antwoorden, IP-adressen, postadressen en downloadgeschiedenissen. Daarnaast was VTech's app store-database, Learning Lodge, ook gecompromitteerd.

VTech Tote en Go Childrens Learning Device

Vanaf hier werden gegevens waaronder chatlogs, persoonlijke audiobestanden en foto's aangetast, waarvan vele rechtstreeks toebehoorden aan de kinderen die de apparaten gebruikten.

Kwetsbaarheden

De hack werd in eerste instantie onthuld door Lorenzo Bicchierai, die schreef voor de technologie van Vice magazine Moederbord publicatie. Nadat het eerste artikel was gepubliceerd, werd contact opgenomen met Bicchierai door de persoon die beweerde de hack te hebben uitgevoerd, die gevoelige foto's ter verificatie aan de journalist had verstrekt.

Bicchierai nodigde vervolgens informatiebeveiligingsspecialist Troy Hunt uit om de verstrekte gegevens te analyseren om te bevestigen of het lek legitiem was, in plaats van een hoax. Na bevestiging, Hunt verder ontleed de gegevens en gepubliceerde details van de kwetsbaarheden die VTech treffen. De kwetsbaarheden, zoals Hunt ontdekte, waren afschuwelijk.

Objectreferentiefouten betekenden dat gebruikers gemakkelijk toegang konden krijgen tot de accounts van anderen door URL's te doorlopen, het hele hostsysteem was extreem gevoelig voor elke vorm van SQL-injectie en er was:

"Nergens SSL... Alle communicatie verloopt via niet-versleutelde verbindingen, ook wanneer wachtwoorden, oudergegevens en gevoelige informatie over kinderen worden verzonden."

Hij vond ook wachtwoorden die 'versleuteld' waren met een simpele MD5-hash, zonder te zouten of zelfs maar met een geavanceerde hashing algoritme, wat betekent dat iedereen met zelfs een licht geavanceerde computervaardigheid ze waarschijnlijk in een korte tijd van tijd.

Daarnaast werden geheime vragen en antwoorden in platte tekst opgeslagen, zonder aanvullende beveiligingsmaatregelen. Hunt merkte ook de slechte kwaliteit van de beveiligingsvragen op, zoals "Wat is je favoriete kleur?" of "Waar ben je geboren?" en andere even eenvoudig te ontdekken informatie.

Kindgebruikers

Zodra een ouder zijn volwassen account heeft aangemaakt, kunnen er kinderaccounts worden gemaakt. Elk kinderaccount is rechtstreeks gekoppeld aan het volwassenaccount en ze kunnen hun eigen avatar, geboortedatum en geslacht toevoegen.

VTech Child Account Information Details CSVDe gegevens worden vervolgens opgeslagen in een zelfverwijzende tabel met behulp van een "parent_id" om beide accounts als volgt aan elkaar te koppelen:

VTech Details voor koppelen van volwassenen en kinderen

Dit betekent dat met de extra gegevens die tijdens de inbreuk zijn beveiligd, elk kind eenvoudig kan worden gekoppeld aan hun ouder, waarbij hun adressen worden onthuld, samen met tal van andere persoonlijke informatie.

Wijzig de algemene voorwaarden

Omdat we zo vaak worden geconfronteerd met langdurige gebruikersovereenkomsten, privacyverklaringen, wijzigingen van de voorwaarden en voorwaarden van websites, games, services en meer, we zijn allemaal een beetje blasé geworden voor de taal gebruikt. Ik kan absoluut niet tellen hoeveel T&C ik heb doorgeklikt en vraag me af of ik op een gegeven moment mijn ziel heb ondertekend.

Je zou denken standaard reactie op een groot datalek Waarom bedrijven schendingen geheim houden, kan een goede zaak zijnMet zoveel informatie online, maken we ons allemaal zorgen over mogelijke inbreuken op de beveiliging. Maar deze inbreuken kunnen in de VS geheim worden gehouden om u te beschermen. Het klinkt gek, dus wat is er aan de hand? Lees verder is een gedegen onderzoek naar alle tekortkomingen in de beveiliging en verwelkomt het werk misschien al ingevuld door informatiebeveiligingsprofessionals die gevoelige gegevens met betrekking tot kinderen.

Niet voor VTech.

In plaats daarvan hebben ze hun algemene voorwaarden bijgewerkt met duidelijk onsmakelijke terminologie. In een kop met een kop Beperking van de aansprakelijkheid, gelezen voorwaarden:

"U erkent en gaat ermee akkoord dat alle informatie die u verzendt of ontvangt tijdens uw gebruik van de site mogelijk niet veilig is en kan worden onderschept of later verkregen door onbevoegde partijen"

Het spijt me. Wat? De gebruiker gaat ermee akkoord niet boos te zijn of het bedrijf verantwoordelijk te houden als ze opnieuw worden gehackt? In 2016 kan elk bedrijf dat verantwoordelijk is voor het promoten van welke vorm van netwerkapparaat dan ook, de last van verantwoordelijkheid voor hun gebruikers in een scenario waarin ze actief op zoek zijn naar gevoelige informatie achter me.

Verbroken?

Echt niet. Zelfs vóór hun op voorwaarden gebaseerde shenanigans, de Britse commissaris voor informatie was het onderzoeken van het datalek Blijf op de hoogte van de nieuwste datalekken - volg deze 5 services en feeds Lees verder , samen met meerdere rechtsgebieden van de Amerikaanse staat. Evenzo, in de onmiddellijke nasleep van de inbreuk, bevestigde de Hongaarse privacycommissaris Stephen Wong de zijne Office had een "nalevingscontrole" op VTech gestart om te beoordelen of het bedrijf zich aan de basisbeveiliging had gehouden principes.

Terwijl ik dit artikel aan het schrijven was, bevestigde het Britse Information Commissioners Office dat de nieuwe voorwaarden in strijd zouden zijn met de huidige Britse wetgeving, met vermelding van:

"De wet is duidelijk dat het de organisaties zijn die omgaan met de persoonsgegevens van mensen die verantwoordelijk zijn voor het veilig houden van die gegevens"

Wat zou je moeten doen?

Eerlijk gezegd, totdat is bewezen dat VTech hun beveiligingsoperatie aanzienlijk heeft herzien, gebruik hun producten niet, inclusief hun website.

chrome_2016-02-12_01-15-13

In de toekomst zou het verstandig zijn om, voordat u enig speelgoed voor kinderen in een netwerk koopt, een snelle zoekopdracht '[productnaam / bedrijfsnaam] + beveiliging' uit te voeren, anders kunt u proberen "[Productnaam / bedrijfsnaam] + hack / datalek." Elk van deze combinaties zal snel het veiligheidswelzijn illustreren van het product dat u gaat overhandigen jouw kind.

Beveiligingsinbreuken zullen plaatsvinden 3 Risico's voor uw persoonlijke gegevens tijdens een verblijf in een hotelEen verblijf in een hotel kan gevaarlijk zijn voor uw gegevensbeveiliging. Als u niet wilt dat uw volgende reis een nachtmerrie voor identiteitsdiefstal wordt, zijn hier enkele dingen waarmee u rekening moet houden. Lees verder . We leven in een enorm gedigitaliseerde wereld, gevoelige informatie delen Vijf manieren om ervoor te zorgen dat uw persoonlijke gegevens veilig blijvenU bent uw gegevens. Of het nu gaat om een ​​verzameling foto's die je hebt gemaakt, afbeeldingen die je hebt ontwikkeld, rapporten die je hebt geschreven, verhalen die je hebt bedacht of muziek die je hebt verzameld of gecomponeerd, het vertelt een verhaal. Bescherm het. Lees verder op een groot aantal sites. Dit hoeven we echter niet te doen onszelf in de vuurlinie werpen Is online bankieren veilig? Meestal, maar hier zijn 5 risico's die u moet kennenEr is veel leuk aan online bankieren. Het is handig, kan uw leven vereenvoudigen, misschien krijgt u zelfs betere spaarpercentages. Maar is internetbankieren wel zo veilig als het zou moeten zijn? Lees verder , en evenzo hebben we het recht om te verwachten een beetje respect 3 tips voor online fraudepreventie die u in 2014 moet kennen Lees verder de privacy van onze persoonlijke gegevens - laat staan ​​die van onze kinderen.

Beïnvloed door de VTech-inbreuk? Of kun je sympathiseren met een speelgoedmaker in de wereld van netwerk- en informatiebeveiliging? Laat het ons hieronder weten!

Afbeeldingscredits:Hacker Man door tanberin via Shutterstock

Gavin is Senior Writer voor MUO. Hij is ook de redacteur en SEO-manager voor MakeUseOf's crypto-gerichte zustersite, Blocks Decoded. Hij heeft een BA (Hons) Contemporary Writing with Digital Art Practices geplunderd uit de heuvels van Devon, evenals meer dan een decennium aan professionele schrijfervaring. Hij houdt van veel thee.