VTech spiller løs med dine barns data
Det har vært en tumultuøs tid for barns elektroniske læringsproduktleverandører, VTech. Det Hong Kong-baserte selskapet annonserte oppkjøpsplaner for direktemarkedskonkurrent leapFrog for $ 72 millioner, drastisk utvide sin markedsandel og posisjonere seg som en av de fremste utviklerne av og leverandører i barns elektroniske læringsprodukter. Dessverre fortsatte uken ikke som planlagt.
VTech oppdaterte vilkårene sine etter en stor hack i 2015, og skiftet ansvaret for foreldre og omsorgspersoner uten en annen tankegang.
Hva har de forandret seg? Hva har de sikret? Hva skal du gjøre?
Hva skjedde med VTech?
VTech ble hakket i november i november VTech får Hacked, Apple hater hodetelefonkontakter ... [Tech News Digest] VTech blir hakket, Apple hater hodetelefonkontakter ... [Tech News Digest] Hackere avslører VTech-brukere, vurderer Apple å fjerne hodetelefonkontakten, julelysene kan sakte ned Wi-Fi, Snapchat kommer i seng med (RED), og husker The Star Wars Holiday Special. Les mer, angriperen slår av med data fra over 4 millioner voksne kontoer og over 6 millioner barnekontoer. Hacket avslørte personopplysninger Fem måter å sikre at dine personopplysninger forblir sikre Fem måter å sikre at dine personlige data forblir sikre Dine data er deg. Enten det er en samling bilder du tok, bilder du utviklet, rapporterte du skrev, historier du tenkte på eller musikk du samler eller komponerte, forteller det en historie. Beskytt den. Les mer om hver kompromitterte konto, inkludert navn, e-postadresser, passord, hemmelige spørsmål og svar, IP-adresser, adresser og nedlastingshistorier. I tillegg til dette ble VTechs appbutikkdatabase, Learning Lodge, også kompromittert.
Herfra ble data inkludert chatlogger, personlige lydfiler og fotografier kompromittert, og mange tilhører direkte barna som bruker enhetene.
Sikkerhetsproblemer
Hacket ble først eksponert av Lorenzo Bicchierai, skriver for Vice-magasins teknologifokuserte hovedkort utgivelse. Etter at den første artikkelen ble publisert, ble Bicchierai kontaktet av den enkelte som hevdet at han hadde utført hacken, som ga følsomme fotografier til journalisten for verifisering.
Bicchierai inviterte deretter informasjonsspesialisten Troy Hunt til å analysere dataene som ble oppgitt for å bekrefte om lekkasjen var legitim, snarere enn en hoax. Ved bekreftelse disseminerte Hunt videre dataene og publiserte detaljer om sikkerhetsproblemene som påvirker VTech. Sårbarhetene, som Hunt oppdaget, var fryktelige.
Objektreferansefeil, som innebar at brukere enkelt kunne få tilgang til kontoene til andre ved å gå gjennom nettadresser, var hele vertssystemet ekstremt følsomt overfor noen form for SQL-injeksjon, og det var:
“Ingen SSL hvor som helst ... All kommunikasjon er over ukrypterte forbindelser, inkludert når passord, foreldres detaljer og sensitiv informasjon om barn overføres.”
Han fant også passord “kryptert” med en enkel MD5 hash, uten salting, eller til og med syn på en avansert hashing-algoritme, noe som betyr at alle med enda litt avanserte databehandlingskunnskaper sannsynligvis vil spre dem på kort tid.
I tillegg til dette ble hemmelige spørsmål og svar lagret i ren tekst, uten noen ekstra sikkerhetstiltak i det hele tatt. Jakt bemerket også den dårlige kvaliteten på sikkerhetsspørsmålene, for eksempel “Hva er favorittfargen din?” eller “Hvor ble du født?” og andre like enkle å oppdage informasjon.
Barn Brukere
Når en forelder har opprettet sin voksenkonto, kan barnekontoer bli opprettet. Hver barnekonto er direkte knyttet til den voksne kontoen, og de kan legge til egen avatar, fødselsdato og kjønn.
Dataene lagres deretter i et selvvalgtabell ved hjelp av a “PARENT_ID” å knytte begge kontoene sammen, slik som:
Det betyr at med de ytterligere dataene som er sikret i bruddet, kan hvert eneste barn enkelt settes sammen med foreldrene sine, avsløre adressene sammen med reams av annen personlig informasjon.
Endre T & C
Da vi er så ofte konfrontert med lange brukeravtaler, personvernerklæringer, endringer i vilkårene for nettsteder, spill, tjenester og mer, har vi alle blitt litt blasé til språket som brukes. Jeg kan absolutt ikke telle mengden T & C jeg har klikket igjennom, og lurer på om jeg noen gang signerte min sjel over.
Du ville tro det vanlige svaret på et stort brudd på data Hvorfor selskaper som bryter med en hemmelighet, kan være en god ting Hvorfor selskaper som bryter en hemmelighet, kan være en god ting Med så mye informasjon på Internett, er vi alle bekymret for potensielle sikkerhetsbrudd. Men disse bruddene kan holdes hemmelige i USA for å beskytte deg. Det høres gal, så hva skjer? Read More er en robust etterforskning av alle sikkerhetsmangel, kanskje velkommen til det arbeidet som allerede er utført av fagpersoner i informasjonssikkerhet som forsøker å sikre sensitive data knyttet til barn.
Ikke for VTech.
I stedet oppdaterte de sine vilkår og betingelser med tydelig usynlig terminologi. I en seksjon som er overskriften Ansvarsbegrensning, Vilkår leses:
“Du erkjenner og aksepterer at all informasjon du sender eller mottar under bruken av nettstedet, ikke er sikkert og kan bli oppfanget eller senere innhentet av uautoriserte parter”
Beklager. Hva? Brukeren godtar ikke å være sint eller holde selskapet ansvarlig hvis de blir hacket igjen? I 2016 kan ethvert selskap som markedsfører en hvilken som helst form for nettverksansvar på en ansvarlig måte, forandre ansvarsbyrden til sine brukere i et scenario der de aktivt søker sensitiv informasjon, ligger utenfor meg.
absolved?
Aldri. Selv før deres vilkår og betingelser baserte seg, undersøkte Storbritannias informasjonskommissærs kontor datautbruddene. Fortsett med de nyeste datalekkasjer. Følg disse 5 tjenestene og feeds fortsette med de nyeste datalekkasjer. Følg disse 5 tjenestene og feeds Les mer , sammen med flere amerikanske statlige jurisdiksjoner. På samme måte, i umiddelbar etterdykkelse av bruddet, bekreftet Hongkongs personvernkommissær Stephen Wong at kontoret hans hadde startet a “kontroll av etterlevelse” på VTech for å vurdere om selskapet hadde overholdt grunnleggende sikkerhetsprinsipper.
Som jeg skrev denne artikkelen, bekreftet UK Information Commissioners Office at de nye vilkårene ville være i strid med gjeldende britisk lov, og sier:
“Loven er tydelig at det er organisasjoner som håndterer personopplysninger som er ansvarlige for å holde dataene sikre”
Hva burde du gjøre?
Ærlig, til VTech har blitt bevist å ha vesentlig revidert deres sikkerhetsoperasjon, ikke bruk deres produkter, inkludert deres nettside.
I fremtiden vil det være forsiktig å kjøre en rask, før du kjøper noen nettverksbygget barnas leketøy “[produktnavn / firmanavn] + sikkerhet” søk, eller du kan prøve “[produktnavn / firmanavn] + hack / data brudd.” En hvilken som helst av disse kombinasjonene vil raskt illustrere sikkerhetsevilheten til produktet du skal håndtere barnet ditt.
Sikkerhetsbrudd kommer til å skje 3 Risiko for dine personlige data Når du bor på et hotell 3 Risiko for dine personlige data Når du bor på et hotell som bor på et hotell, kan det være farlig for datasikkerheten din. Hvis du ikke vil at din neste tur skal bli et identitetstyveri mareritt, er det noen ting å huske på. Les mer . Vi lever i en massivt digitalisert verden, deling av sensitiv informasjon Fem måter å sikre dine personlige data forblir sikre Fem måter å sikre at dine personlige data forblir sikre Dine data er deg. Enten det er en samling bilder du tok, bilder du utviklet, rapporterte du skrev, historier du tenkte på eller musikk du samler eller komponerte, forteller det en historie. Beskytt den. Les mer på et stort antall nettsteder. Vi trenger imidlertid ikke å kaste oss inn i skytebanen Er Online Banking Safe? For det meste, men her er 5 risikoer du bør vite om, er Online Banking Safe? For det meste, men her er 5 risikoer du bør vite om Det er mye å like om nettbank. Det er praktisk, kan forenkle livet ditt, du kan til og med få bedre besparelser. Men er nettbanken så trygg og trygg som den burde være? Les mer, og vi har også rett til å forvente et respektert avtale. 3 Tips til online svindelforebygging du trenger å vite i 2014. 3 Tips for Internett-svindelforebygging du trenger å vite i 2014 Les mer til personvernet til våre personopplysninger - la alene det av våre barn.
Berørt av VTech brudd? Eller kan du sympatisere med en leketaker i nettverks- og informasjonssikkerhetsverdenen? Gi oss beskjed nedenfor!
Image Credits: Hacker Man av tanberin via Shutterstock
Utforsk mer om: Online Personvern, Leker.