VTech leger løs med dine børns data

  • Michael Cain
  • 0
  • 3030
  • 596
Reklame

Det har været en stormende tid for børns leverandører af elektroniske læringsprodukter, VTech. Det Hong Kong-baserede selskab annoncerede overtagelsesplaner for en direkte konkurrent LeapFrog for 72 millioner dollars, hvilket drastisk udvider deres markedsandel og positionerer sig som en af ​​de største udviklere af og leverandører af børns elektroniske læringsprodukter. Desværre fortsatte ugen ikke som planlagt.

VTech opdaterede deres vilkår og betingelser efter et stort hack i 2015, idet de blatant skiftede ansvaret for ansvar over på forældre og plejere uden en anden tanke.

Hvad har de ændret? Hvad har de sikret? Hvad skal du gøre?

Hvad der skete med VTech?

VTech blev hacket i november sidste år VTech bliver hacket, Apple hader hovedtelefonstik ... [Tech News Digest] VTech bliver hacket, Apple hader hovedtelefonstik ... [Tech News Digest] Hackere udsætter VTech-brugere, Apple overvejer at fjerne hovedtelefonstik, julelys kan bremse din Wi-Fi, Snapchat går i seng med (RØD) og husker Star Wars Holiday Special. , angriberen slæber med data fra over 4 millioner voksne konti og over 6 millioner børnkonti. Hacket udsatte de personlige data Fem måder at sikre, at dine personlige data forbliver sikre Fem måder at sikre, at dine personlige data forbliver sikre. Dine data er dig. Uanset om det er en samling af fotografier, du har taget, billeder, du har udviklet, rapporter, du skrev, historier, du har fundet op eller musik, du har samlet eller komponeret, fortæller det en historie. Beskyt det. af hver kompromitteret konto inklusive navne, e-mail-adresser, adgangskoder, hemmelige spørgsmål og svar, IP-adresser, postadresser og downloadhistorik. Ud over dette blev VTechs app store-database, Learning Lodge, også kompromitteret.

Herfra blev data inklusive chat-logfiler, personlige lydfiler og fotografier kompromitteret, mange hørte direkte til børnene ved hjælp af enhederne.

Sårbarheder

Hacket blev oprindeligt eksponeret af Lorenzo Bicchierai, der skrev for Vice magazine's teknologifokuserede Bundkort offentliggørelse. Efter offentliggørelsen af ​​den oprindelige artikel blev Bicchierai kontaktet af den person, der hævdede at have udført hacket, der leverede følsomme fotografier til journalisten til verifikation.

Bicchierai opfordrede derefter informationssikkerhedsspecialisten Troy Hunt til at analysere de leverede data for at bekræfte, om lækagen var legitim snarere end en hoax. Efter bekræftelse dissekterede Hunt yderligere dataene og offentliggjorde detaljer om sårbarhederne, der påvirker VTech. Som Hunt opdagede, var sårbarhederne grusomme.

Objektreferencefejl betød, at brugere let kunne få adgang til andres konti ved at gå gennem URL'er, hele værtssystemet var ekstremt følsomt over for enhver form for SQL-injektion, og der var:

“Ingen SSL overalt… Al kommunikation er via ikke-krypterede forbindelser, herunder når adgangskoder, forældres detaljer og følsomme oplysninger om børn transmitteres.”

Han fandt også adgangskoder “krypteret” med en simpel MD5-hash, uden salting eller endda synet af en avanceret hash-algoritme, hvilket betyder, at enhver med endda lidt avancerede computerkompetencer sandsynligvis vil knække dem på kort tid.

Desuden blev hemmelige spørgsmål og svar gemt i almindelig tekst uden overhovedet ekstra sikkerhedstiltag. Hunt bemærkede også den dårlige kvalitet af sikkerhedsspørgsmålene, f.eks “Hvad er din yndlingsfarve?” eller “Hvor er du født?” og anden lige så let at opdage information.

Børnebrugere

Når en forælder har oprettet deres voksenkonto, kan der oprettes barnekonti. Hver barnekonto er direkte knyttet til voksenkontoen, og de kan tilføje deres egen avatar, fødselsdato og køn.

Dataene gemmes derefter i en selvreferencerende tabel ved hjælp af a “parent_id” at linke begge konti sammen, sådan:

Det betyder, at med de yderligere data, der er sikret i overtrædelsen, kunne hvert eneste barn simpelthen tilpasses deres forælder ved at afsløre deres adresser sammen med række andre personlige oplysninger..

Skift T&C

Da vi så ofte konfronteres med lange brugeraftaler, erklæringer om beskyttelse af personlige oplysninger, ændringer i vilkårene og betingelserne for websteder, spil, tjenester og mere, er vi alle blevet en smule blasere for det anvendte sprog. Jeg kan absolut ikke tælle det antal T&C, jeg har klikket igennem, og spekulerer på, om jeg på et tidspunkt underskrev min sjæl.

Du skulle tro, at standardreaktionen på et større dataforbrud Hvorfor virksomheder, der holder krænkelser en hemmelighed, kan være et godt ting, hvorfor virksomheder, der holder krænkelser en hemmelighed, kan være et godt ting Med så meget information online, bekymrer vi os alle over mulige sikkerhedsbrud. Men disse overtrædelser kunne holdes hemmelige i USA for at beskytte dig. Det lyder vanvittigt, så hvad sker der? er en robust undersøgelse af alle sikkerhedsmangler, måske glæder sig over det arbejde, der allerede er afsluttet af fagfolk inden for informationssikkerhed, der forsøger at beskytte følsomme data om børn.

Ikke til VTech.

I stedet opdaterede de deres vilkår og betingelser med tydeligt usmageligt terminologi. I et afsnit med overskrift Ansvarsbegrænsning, udtryk læst:

“Du anerkender og accepterer, at alle oplysninger, du sender eller modtager under din brug af webstedet, muligvis ikke er sikre og kan blive opsnappet eller senere erhvervet af uautoriserede parter”

Undskyld. Hvad? Brugeren accepterer ikke at være vred eller holde virksomheden ansvarlig, hvis de bliver hacket igen? I 2016 kan enhver virksomhed, der reklamerer for nogen form for netværksenhed på en ansvarlig måde, flytte ansvaret for deres brugere i et scenarie, hvor de aktivt søger følsom information, ligger uden for mig.

frikendt?

Ingen måde. Allerede inden deres betingelser og betingelser-baserede shenanigans, undersøgte den britiske informationskommissærs kontor dataovertrædelsen Hold dig opdateret med de seneste datalækager - Følg disse 5 tjenester og feeds Hold dig opdateret med de seneste datalækage - Følg disse 5 tjenester og feeds, sammen med flere amerikanske stats jurisdiktioner. Tilsvarende bekræftede Hong Kongs privatlivskommissær Stephen Wong i øjeblikket efter overtrædelsen, at hans kontor havde indledt en “overholdelseskontrol” på VTech for at vurdere, om virksomheden havde overholdt de grundlæggende sikkerhedsprincipper.

Da jeg skrev denne artikel, bekræftede UK Information Commissioners Office, at de nye vilkår og betingelser ville være i modstrid med den nuværende britiske lovgivning med angivelse af:

“Loven er tydelig, at det er organisationer, der håndterer folks personlige data, der er ansvarlige for at holde disse data sikre”

Hvad skulle du gøre?

Helt ærligt, indtil VTech har vist sig at have gennemgået en betydelig revision af deres sikkerhedsoperation, Brug ikke deres produkter, inklusive deres hjemmeside.

I fremtiden, før du køber et netværk til legetøj til børn, ville det være klogt at køre hurtigt “[produktnavn / firmanavn] + sikkerhed” søg, eller du kan prøve “[produktnavn / firmanavn] + hack / dataovertrædelse.” En hvilken som helst af disse kombinationer illustrerer hurtigt sikkerhedens velvære for det produkt, du er ved at udlevere til dit barn.

Sikkerhedsbrud vil ske 3 Risici for dine personlige data, når du bor på et hotel 3 Risici for dine personlige data, når du bor på et hotel Ophold på et hotel kan være farligt for din datasikkerhed. Hvis du ikke vil have din næste tur til at blive et mareridt med identitetstyveri, er her nogle ting, du skal huske på. . Vi lever i en massivt digitaliseret verden og deler følsomme oplysninger Fem måder at sikre, at dine personlige data forbliver sikre Fem måder at sikre, at dine personlige data forbliver sikre, at dine data er dig. Uanset om det er en samling af fotografier, du har taget, billeder, du har udviklet, rapporter, du skrev, historier, du har fundet op eller musik, du har samlet eller komponeret, fortæller det en historie. Beskyt det. på tværs af et stort antal sider. Vi behøver dog ikke kaste os ind i skyderiet. Er Online Banking Safe? For det meste, men her er 5 risici, du skal vide om, er online banksikkerhed sikkert? For det meste, men her er 5 risici, du skal vide om, at der er meget at lide ved netbank. Det er praktisk, kan forenkle dit liv, du kan endda få bedre besparelser. Men er onlinebank så sikker og sikker, som det burde være? , og ligesom vi har ret til at forvente et modik af respekt 3 Tips til online-bedrageri, du har brug for at vide i 2014 3 Online-bedrageriforebyggende tip, du har brug for i 2014 til privatlivets fred for vores personlige data - hvad så ikke vores af vores personlige data børn.

Berørt af VTech-bruddet? Eller kan du sympatisere med en legetøjsmaskine i netværks- og informationssikkerhedsverdenen? Fortæl os det nedenfor!

Billedkreditter: Hacker Man af tanberin via Shutterstock




Endnu ingen kommentarer

Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.