Naruszenie danych przez producenta zabawek VTech wyciekło zdjęć dzieci, rodziców

Naruszenie danych przez producenta zabawek z Hongkongu, firmę VTech, zdaje się również zawierać zdjęcia dzieci i rodziców, dodając do tego, co może być jednym z najbardziej zaskakujących wycieków w roku.

VTech, który produkuje telefony bezprzewodowe i jak to się nazywa elektroniczne urządzenia do nauki dla dzieci, przeprosił na Twitterze w poniedziałek. Firma poinformowała, że ​​zawiesiła usługę, której dotyczy problem, zwana "Learning Lodge", i powiadamia klientów.

Strona z wiadomościami technicznymi Vice-Motherboard, która po raz pierwszy zgłosiła naruszenie, powiedziała w poniedziałek, że naruszenie zawierało również tysiące zdjęć rodziców i dzieci oraz czat dzienniki.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Urzędnicy VTech nie mogli od razu uzyskać komentarza, aby uzyskać komentarz we wtorek.

Przełom wpłynął na bazę danych sklepu aplikacji VTech Learning Lodge, usługa online, która łączy się z wieloma urządzeniami firmy. VTech powiedział, że baza danych została udostępniona 14 listopada.

Zaatakowane dane obejmują 4,8 miliona adresów e-mail klientów, nazwiska i słabo zakodowane hasła dorosłych zarejestrowanych użytkowników. Obejmuje również płeć, imię i daty urodzenia ponad 200 000 dzieci.

Dane klientów pochodziły od użytkowników w USA, Kanadzie, Wielkiej Brytanii, Irlandii, Francji, Niemczech, Hiszpanii, Belgii, Holandii, Danii, Luksemburgu , Hong Kong, Chiny, Australia, Nowa Zelandia i Ameryka Łacińska, VTech powiedział w FAQ.

Dane zostały przekazane do płyty głównej przez hakera, podała publikacja. Płyta główna została poinformowana, że ​​dane zostały uzyskane przez lukę SQL injection.

Luka w postaci iniekcji SQL, jeden z najczęstszych typów problemów związanych ze stronami internetowymi, może pozwolić hakerowi na wprowadzanie poleceń do postaci internetowej i uzyskiwanie Koniec bazy danych do odpowiedzi.

Niektóre dane VTech zostały przekazane przez płytę główną do Troy Hunta, australijskiego eksperta ds. bezpieczeństwa, który bada naruszenia danych i uruchamia usługę powiadamiania o nazwie "Mam mnie".

Zweryfikował wyciek danych kontaktując się z osobami, które zarejestrowały się w jego usłudze, które powiadamiają ludzi o tym, że ich adresy e-mail pojawiają się w nowym naruszeniu bezpieczeństwa danych.

W obszernym blogu w sobotę, dochodzenie Hunta dotyczące VTech's Learning Lodge i powiązanych usług online pojawiło się wiele razy. poważne problemy bezpieczeństwa.

Usługi rejestracji kont VTech nie wykorzystują SSL / TLS (Secure Sockets Layer / Transport Layer Security), który szyfruje dane przesyłane między komputerem użytkownika a usługą, napisał Hunt. Uważa się, że nie należy włączać SSL / TLS, szczególnie podczas rejestrowania kont z osobistymi informacjami i hasłami.

Troy Hunt

Jest to jeden z paneli rejestracji konta VTech dla rodziców.

VTech powiedział, że hasła przechowywane były zaszyfrowane. Hunt znalazł VTech przechowywane hashe hasła, które są kryptograficznymi reprezentacjami haseł, które zostały przerzucone przez algorytm.

Ale VTech użył algorytmu znanego jako MD5, który jest uważany za bardzo słaby. Przekształcenie tych skrótów w ich oryginalne hasła jest możliwe za pomocą narzędzi do dekodowania i wydajnych procesorów graficznych.

"Większość tych haseł będzie pękać w krótkim czasie" - pisał Hunt.

Dalsza analiza Hunta wykazała, że łatwe dopasowanie zarejestrowanych kont rodziców z zarejestrowanymi dziećmi. Mówi, że błędy zostały zgłoszone do VTech.

"Wady są fundamentalne, a zaleceniem, które przekazałem, jest odebranie go w trybie offline, aż do czasu, kiedy będą mogli to naprawić poprawnie," napisał Hunt. "Po prostu nie możesz wykorzystywać danych innych osób w ten sposób, zwłaszcza gdy są dziećmi."

Chris Eng, wiceprezes ds. Badań nad bezpieczeństwem w Veracode, powiedział, że niektóre firmy z branży technologii konsumenckich nie postrzegają bezpieczeństwa jako podstawową część ich podstawowej działalności i "płacą za to cenę".

"VTech to firma zabawkarska" - powiedział Eng. "Producenci zabawek nie mają rygoryzmu w zakresie bezpiecznego rozwoju, który jest potrzebny w dzisiejszym środowisku i nieuchronnie będzie brakowało bezpieczeństwa."