VTech: Voľné hranie s údajmi vašich detí

Reklama

Bol to búrlivý čas pre dodávateľov elektronických vzdelávacích produktov pre deti, VTech. Hongkonská spoločnosť oznámila akvizičné plány pre priameho konkurenta LeapFrog za 72 miliónov dolárov, drasticky rozširovať svoj podiel na trhu a umiestňovať sa ako jeden z popredných vývojárov a dodávateľov elektronických vzdelávacích produktov pre deti. Tento týždeň nanešťastie nepokračoval podľa plánu.

Spoločnosť VTech aktualizovala svoje zmluvné podmienky v nadväznosti na veľký hack v roku 2015, bez zjavného presunu bremena zodpovednosti na rodičov a opatrovateľov.

Čo sa zmenili? Čo si zabezpečili? Čo by ste mali robiť?

Čo sa stalo s VTech?

VTech bol hacknutý minulý november VTech dostane napadnuté slúchadlá Apple Hates... [Tech News Digest]Hackeri vystavujú používateľov technológie VTech, spoločnosť Apple zvažuje odstránenie konektora pre slúchadlá, vianočné osvetlenie môže spomaliť pripojenie Wi-Fi, Snapchat sa dostane do postele s (ČERVENÝ) a pamätá si špeciálnu ponuku Star Wars. Čítaj viac

, útočník rozdáva údaje z viac ako 4 miliónov účtov pre dospelých a viac ako 6 miliónov detských účtov. Hack osobné údaje Päť spôsobov, ako zaistiť bezpečnosť vašich osobných údajovVaše údaje ste vy. Či už je to zbierka fotografií, ktoré ste odfotili, obrázky, ktoré ste vytvorili, správy, ktoré ste napísali, príbehy, ktoré ste vymysleli, alebo hudba, ktorú ste zhromaždili alebo zložili, rozpráva príbeh. Chráňte ju. Čítaj viac každého kompromitovaného účtu vrátane mien, e-mailových adries, hesiel, tajných otázok a odpovedí, adries IP, poštových adries a histórie sťahovania. Okrem toho bola ohrozená aj databáza obchodov s aplikáciami VTech, Learning Lodge.

Odtiaľ boli údaje, vrátane protokolov rozhovoru, osobných zvukových súborov a fotografií, kompromitované, pričom mnohé z týchto zariadení patrili priamo deťom.

zraniteľnosti

Hack bol spočiatku odhalený Lorenzom Bicchieraiom, ktorý písal pre technológiu vice časopisu Základná doska zverejnenia. Po uverejnení pôvodného článku bol jednotlivec tvrdiaci, že vykonal hack, kontaktovaný s Bicchierai, ktorý novinárovi poskytol citlivé fotografie na overenie.

Bicchierai potom pozval špecialistu na informačnú bezpečnosť Troy Hunta, aby analyzoval poskytnuté údaje s cieľom potvrdiť, či bol únik legitímny, a nie podvod. Po potvrdení Hunt ďalej disekovaný údaje a publikované podrobnosti o zraniteľnostiach ovplyvňujúcich spoločnosť VTech. Zraniteľnosti, ako zistil Hunt, boli kruté.

Chyby odkazov na objekty znamenali, že používatelia mohli ľahko pristupovať k účtom iných prostredníctvom prechádzania cez adresy URL, celý hostiteľský systém bol mimoriadne citlivý na akúkoľvek formu vstrekovania SQL a došlo k:

„Žiadny SSL nikde... všetka komunikácia prebieha cez nešifrované spojenia vrátane prenosu hesiel, detských údajov a citlivých informácií o deťoch.“

Našiel tiež heslá „zašifrované“ pomocou jednoduchého hashovania pomocou MD5, bez solenia alebo dokonca zraku pokročilého hashovania. algoritmus, čo znamená, že ktokoľvek, kto má dokonca mierne pokročilé počítačové zručnosti, by ich pravdepodobne mohol rozbiť v krátkom čase Čas.

Okrem toho boli tajné otázky a odpovede uložené v čistom texte bez akýchkoľvek ďalších bezpečnostných opatrení. Hunt tiež poznamenal zlú kvalitu bezpečnostných otázok, napríklad „Aká je vaša obľúbená farba?“ alebo „Kde si sa narodil?“ a ďalšie rovnako ľahko objaviteľné informácie.

Detskí používatelia

Po vytvorení účtu pre dospelých rodičom je možné vytvoriť podradené účty. Každý podradený účet je priamo prepojený s účtom pre dospelých a môže pridať vlastný avatar, dátum narodenia a pohlavie.

Dáta sa potom uložia do tabuľky s vlastným odkazom pomocou „parent_id“ na prepojenie oboch účtov, napríklad:

Znamená to, že s dodatočnými údajmi zabezpečenými pri porušení môže byť každé dieťa jednoducho priradené k svojmu rodičovi, pričom zverejní svoje adresy spolu so súbormi iných osobných údajov.

Zmena VOP

Keďže sme tak často konfrontovaní s zdĺhavými užívateľskými dohodami, vyhláseniami o ochrane osobných údajov a zmenami v podmienkach a podmienky webových stránok, hier, služieb a ďalších, všetci sme sa trochu jazykom jazyka použité. Nemôžem absolútne spočítať množstvo T&C, na ktoré som klikol, a zaujímalo by ma, či som v určitom okamihu podpísal svoju dušu.

Mysleli by ste si štandardná reakcia na závažné porušenie údajov Prečo by spoločnosti, ktoré porušujú tajomstvo, mohli byť dobrou vecouS toľkými informáciami online sa všetci obávame možného narušenia bezpečnosti. Tieto porušenia by sa však mohli v USA chrániť, aby vás ochránili. Znie to šialene, tak čo sa deje? Čítaj viac je dôkladné vyšetrenie všetkých bezpečnostných nedostatkov, ktoré možno prácu vítajú vyplnené odborníkmi na bezpečnosť informácií, ktorí sa snažia chrániť citlivé údaje týkajúce sa deti.

Nie pre VTech.

Namiesto toho aktualizovali svoje zmluvné podmienky zreteľne nechutnou terminológiou. V časti s nadpisom Obmedzenie zodpovednosti, termíny prečítané:

„Beriete na vedomie a súhlasíte s tým, že akékoľvek informácie, ktoré odošlete alebo obdržíte počas používania stránky, nemusia byť bezpečné a môžu ich zachytiť alebo neskôr získať neoprávnené strany.“

Prepáč. Čo? Používateľ súhlasí s tým, že sa nebude hnevať ani nebude niesť zodpovednosť za spoločnosť, ak sa znova hackne? V roku 2016, ako môže každá spoločnosť propagujúca akúkoľvek formu sieťového zariadenia zodpovedne presunúť zaťaženie zodpovednosť za používateľov v prípade, že aktívne hľadajú citlivé informácie mimo mňa.

Absolvovala?

V žiadnom prípade. Už pred ich šenaniganmi založenými na zmluvných podmienkach Kancelária komisára Spojeného kráľovstva pre informácie bol vyšetrovanie porušenia údajov Držte krok s najnovšími únikmi údajov - postupujte podľa týchto 5 služieb a kanálov Čítaj viac , spolu s viac jurisdikcií amerických štátov. Podobne aj v bezprostrednom dôsledku porušenia právnych predpisov hongkonský komisár pre ochranu súkromia Stephen Wong potvrdil svoju kancelária začala na spoločnosti VTech „kontrolu súladu“ s cieľom posúdiť, či spoločnosť dodržiavala základnú bezpečnosť princípy.

Keď som písal tento článok, Úrad komisárov Spojeného kráľovstva pre informácie potvrdil, že nové zmluvné podmienky by boli v rozpore s platnými právnymi predpismi Spojeného kráľovstva, uvedením:

„Zákon je jasný, že za zabezpečenie týchto údajov sú zodpovedné organizácie, ktoré manipulujú s osobnými údajmi ľudí.“

Čo by si mal urobiť?

Úprimne povedané, pokiaľ sa nepreukáže, že spoločnosť VTech podstatne prehodnotila svoju bezpečnostnú operáciu, nepoužívajte ich produkty vrátane ich webových stránok.

V budúcnosti by bolo rozumné spustiť rýchle vyhľadávanie „[názov produktu / názov spoločnosti] + bezpečnosť“, skôr ako si kúpite akúkoľvek detskú hračku v sieti, alebo môžete skúsiť „[Názov produktu / názov spoločnosti] + narušenie hackovania / údajov.“ Každá z týchto kombinácií rýchlo ilustruje bezpečnostnú pohodu produktu, ktorý sa chystáte odovzdať tvoje dieťa.

Dochádza k narušeniam bezpečnosti 3 Riziká pre vaše osobné údaje pri pobyte v hoteliPobyt v hoteli môže byť pre bezpečnosť vašich údajov nebezpečný. Ak nechcete, aby sa váš ďalší výlet zmenil na nočnú moru proti krádeži identity, nezabudnite na niekoľko vecí. Čítaj viac . Žijeme v masívne digitalizovanom svete, zdieľanie citlivých informácií Päť spôsobov, ako zaistiť bezpečnosť vašich osobných údajovVaše údaje ste vy. Či už je to zbierka fotografií, ktoré ste odfotili, obrázky, ktoré ste vytvorili, správy, ktoré ste napísali, príbehy, ktoré ste vymysleli, alebo hudba, ktorú ste zhromaždili alebo zložili, rozpráva príbeh. Chráňte ju. Čítaj viac na veľkom počte webových stránok. Nemusíme však vrhnite sa do palebnej línie Je online bankovníctvo bezpečné? Väčšinou je tu 5 rizík, o ktorých by ste mali vedieťO online bankovníctve je toho veľa. Je to pohodlné, môže vám to zjednodušiť život, dokonca môžete dosiahnuť lepšiu mieru úspor. Je však internetové bankovníctvo také bezpečné a bezpečné, ako by malo byť? Čítaj viac a rovnako máme právo očakávať prejav úcty 3 tipy na prevenciu podvodov online, ktoré potrebujete vedieť v roku 2014 Čítaj viac súkromia našich osobných údajov - nehovoriac o ochrane osobných údajov našich detí.

Ovplyvnené porušením VTech? Alebo môžete sympatizovať s výrobcom hračiek vo svete bezpečnosti sietí a informácií? Dajte nám vedieť nižšie!

Kredity obrázkov:Hacker Man od tanberinu cez Shutterstock