VTech: Spela löst med dina barns data

Annons

Det har varit en tumultig tid för barns leverantörer av elektroniska inlärningsprodukter, VTech. Det Hong Kong-baserade företaget tillkännagav förvärvsplaner för konkurrenter på direktmarknaden LeapFrog för 72 miljoner dollar, drastiskt utöka sin marknadsandel och positionera sig som en av de främsta utvecklarna av och leverantörer av barns elektroniska lärande produkter. Tyvärr fortsatte veckan inte som planerat.

VTech uppdaterade sina villkor efter ett stort hack 2015 och skiftade på ett tydligt sätt ansvaret till föräldrar och vårdare utan en ny tanke.

Vad har de förändrat? Vad har de säkrat? Vad ska du göra?

Vad hände med VTech?

VTech hackades i november förra året VTech blir hackad, Apple hatar hörlursuttag... [Tech News Digest]Hackare utsätter VTech-användare, Apple överväger att ta bort hörlursuttaget, julljus kan bromsa din Wi-Fi, Snapchat går i sängen med (RED) och minns Star Wars Holiday Special. Läs mer , angriparen lyckades med uppgifterna från över 4 miljoner vuxenkonton och över 6 miljoner barnkonton. Hackan

avslöjade personuppgifterna Fem sätt att se till att dina personuppgifter förblir säkraDina data är du. Oavsett om det är en samling fotografier du tog, bilder du utvecklade, rapporter du skrev, berättelser du tänkte på eller musik du samlade eller komponerade berättar det en historia. Skydda det. Läs mer av varje komprometterat konto inklusive namn, e-postadresser, lösenord, hemliga frågor och svar, IP-adresser, postadresser och nedladdningshistorik. Utöver detta komprometterades också VTechs databutik för appbutiker, Learning Lodge.

Härifrån komprometterades data inklusive chattloggar, personliga ljudfiler och fotografier, många tillhörde direkt till barnen med enheterna.

sårbarheter

Hacket exponerades ursprungligen av Lorenzo Bicchierai och skrev för Vice magazine's teknikfokuserade Moderkort offentliggörande. Efter att den första artikeln publicerades kontaktades Bicchierai av individen som påstod att ha utfört hacket, som lämnade känsliga fotografier till journalisten för verifiering.

Bicchierai inbjöd sedan informationssäkerhetsspecialisten Troy Hunt för att analysera de uppgifter som lämnades för att bekräfta om läckan var legitim, snarare än ett hoax. Vid bekräftelse, Jakt vidare dissekerade data och publicerade detaljer om sårbarheter som påverkar VTech. Som Hunt upptäckte var sårbarheterna fruktansvärda.

Objektreferensfel innebar att användare lätt kunde komma åt andras konton genom att gå igenom URL: er, hela värdsystemet var extremt känsligt för någon form av SQL-injektion, och det fanns:

"Ingen SSL någonstans... All kommunikation sker via okrypterade anslutningar inklusive när lösenord, förälders detaljer och känslig information om barn överförs."

Han hittade också lösenord "krypterade" med en enkel MD5-hash, utan saltning, eller till och med syn på en avancerad hash algoritm, vilket betyder att alla med till och med något avancerade datorkunskaper skulle troligen knäcka dem på ett kort avstånd tid.

Vidare lagrades hemliga frågor och svar i vanlig text, utan några extra säkerhetsåtgärder alls. Hunt noterade också den dåliga kvaliteten på säkerhetsfrågorna, till exempel "Vad är din favoritfärg?" eller "Var föddes du?" och annan lika enkel att upptäcka information.

Barnanvändare

När en förälder har skapat sitt vuxna konto kan barnkonton skapas. Varje barnkonto är direkt länkat till vuxenkontot och de kan lägga till sin egen avatar, födelsedatum och kön.

Uppgifterna lagras sedan i en självreferensstabell med hjälp av en "parent_id" för att länka båda kontona på samma sätt:

Vilket innebär att med de ytterligare uppgifter som är säkrade i överträdelsen, kan varje barn helt enkelt matchas med sin förälder, och avslöja sina adresser tillsammans med massor av annan personlig information.

Ändra T&C

Eftersom vi så ofta konfronteras med långa användaravtal, integritetspolicyer, ändringar av villkoren och villkor för webbplatser, spel, tjänster med mera, vi har alla blivit en liten blasé för språket Begagnade. Jag kan absolut inte räkna mängden T&C jag har klickat igenom, och undrar om jag någon gång har undertecknat min själ.

Du skulle tro att standard svar på ett större dataintrång Varför företag som håller intrång i hemlighet kan vara ett bra sakMed så mycket information online, oroar vi oss alla för potentiella säkerhetsbrott. Men dessa överträdelser kan hållas hemliga i USA för att skydda dig. Det låter galen, så vad händer? Läs mer är en robust utredning av alla säkerhetsbrister, kanske välkomnar arbetet redan fullbordad av proffs inom informationssäkerhet som försöker skydda känslig information som rör barn.

Inte för VTech.

Istället uppdaterade de sina villkor med tydligt osmaklig terminologi. I ett avsnitt med rubrik Ansvarsbegränsning, termer lästa:

"Du erkänner och samtycker till att all information du skickar eller får under din användning av webbplatsen kanske inte är säker och kan avlyssnas eller senare förvärvas av obehöriga parter."

Jag är ledsen. Vad? Användaren samtycker till att inte vara arg eller hålla företaget ansvarigt om de blir hackade igen? 2016 kan hur företag som marknadsför någon form av nätverksenhet på ett ansvarsfullt sätt förändra bördan av ansvar gentemot sina användare i ett scenario där de aktivt söker känslig information är bortom mig.

Befrias?

Aldrig. Till och med före deras villkor-baserade shenanigans, Storbritanniens informationskommissionärskontor var undersöker dataöverträdelsen Håll dig uppdaterad med de senaste dataläckorna - Följ dessa 5 tjänster och feeds Läs mer , tillsammans med flera amerikanska statliga jurisdiktioner. På samma sätt bekräftade Hongkongs privatlivskommissionär Stephen Wong i omedelbar efterdrivning av brottet hans office hade initierat en ”compliance control” på VTech för att bedöma om företaget hade följt grundläggande säkerhet principer.

När jag skrev denna artikel bekräftade UK Information Commissioners Office att de nya villkoren skulle strida mot gällande brittisk lag, anger:

”Lagen är uppenbar att det är organisationer som hanterar människors personuppgifter som är ansvariga för att hålla dessa uppgifter säkra”

Vad ska du göra?

Ärligt talat, tills VTech har visat sig ha väsentligt omarbetat sin säkerhetsoperation, använder inte sina produkter, inklusive deras webbplats.

I framtiden, innan du köper någon nätverksbarns leksak, skulle det vara klokt att köra en snabb "[produktnamn / företagsnamn] + säkerhet" -sökning, eller så kan du prova "[Produktnamn / företagsnamn] + hack / dataöverträdelse." Vilken som helst av dessa kombinationer illustrerar snabbt säkerheten för den produkt du ska lämna till ditt barn.

Säkerhetsöverträdelser kommer att hända 3 Risker för dina personuppgifter när du bor på hotellAtt bo på hotell kan vara farligt för din datasäkerhet. Om du inte vill att din nästa resa ska bli en mardröm för identitetsstöld, här är några saker att tänka på. Läs mer . Vi lever i en massivt digitaliserad värld, dela känslig information Fem sätt att se till att dina personuppgifter förblir säkraDina data är du. Oavsett om det är en samling fotografier du tog, bilder du utvecklade, rapporter du skrev, berättelser du tänkte på eller musik du samlade eller komponerade berättar det en historia. Skydda det. Läs mer över ett stort antal webbplatser. Vi behöver dock inte göra det kasta oss in i skjutlinjen Är Internetbanking säkert? Oftast, men här är fem risker du borde veta omDet finns mycket att gilla med online bank. Det är bekvämt, kan förenkla ditt liv, du kan till och med få bättre sparande. Men är onlinebanken så säker och säker som den borde vara? Läs mer och likväl har vi rätt att förvänta oss en modicum av respekt 3 tips om förebyggande av bedrägerier du behöver veta 2014 Läs mer till personuppgifterna för personuppgifter - än mindre våra barns.

Påverkas av VTech-brottet? Eller kan du sympatisera med en leksakstillverkare i nätverks- och informationssäkerhetsvärlden? Låt oss veta nedan!

Bildkrediter:Hacker Man av tanberin via Shutterstock