VTech spelar lös med dina barns data

Det har varit en tumultig tid för barnens elektroniska lärande produktleverantörer, VTech. Det Hongkongbaserade bolaget tillkännagav förvärvsplaner för direktmarknadskonkurrenter LeapFrog för 72 miljoner dollar, drastiskt utökar sin marknadsandel och positionerar sig som en av de främsta utvecklarna av och leverantörerna i barnens elektroniska inlärningsprodukter. Tyvärr fortsatte veckan inte som planerat.

VTech uppdaterade sina villkor efter ett stort hack år 2015, och skiftat ansvaret helt och hållet till föräldrar och vårdnadshavare utan en andra tanke.

Vad har de förändrats? Vad har de säkrat? Vad ska du göra?

Vad hände med VTech?

VTech hackades i november i november VTech får Hacked, Apple hatar Headphone Jacks ... [Tech News Digest] VTech får hackad, Apple hatar hörlurar ... [Tech News Digest] Hackers utsätter VTech-användare, Apple anser att ta bort hörlursuttaget, kan julljus sakta ner din Wi-Fi, Snapchat går i säng med (RED), och kommer ihåg Star Wars Holiday Special. Läs mer, angriparen slutar med data från över 4 miljoner vuxna konton och över 6 miljoner barnkonton. Hacket avslöjade personuppgifterna Fem sätt att se till att dina personuppgifter kvarstår Säkra fem sätt att se till att dina personuppgifter kvarstår Säker Din data är du. Oavsett om det är en samling fotografier du tog, bilder du utvecklat, rapporterade du skrev, berättelser du tänkte på eller musik du samlade eller komponerade, berättar den en historia. Skydda det. Läs mer om varje kompromissat konto inklusive namn, e-postadresser, lösenord, hemliga frågor och svar, IP-adresser, adresser och nedladdningshistorik. Förutom detta blev även VTechs appbutikdatabas, Learning Lodge, komprometterad.

Härifrån äventyras data inklusive chattloggar, personliga ljudfiler och fotografier, många tillhör direkt de barn som använder enheterna.

sårbarheter

Hacket var initialt utsatt av Lorenzo Bicchierai, som skrev för vice-magasins teknologifokuserade Moderkort offentliggörande. Efter att den första artikeln publicerades kontaktades Bicchierai av den person som hävdar att ha utfört hacket, som gav känsliga fotografier till journalisten för verifikation.

Bicchierai uppmanade då informationssäkerhetsspecialisten Troy Hunt att analysera de uppgifter som lämnades för att bekräfta om läckaget var legitimt, snarare än ett hoax. Vid bekräftelse avsåg Hunt vidare data och publicerade detaljer om de sårbarheter som påverkar VTech. Sårbarheterna, som jag upptäckte, var skrämmande.

Objektreferensbrister menade att användarna lätt kunde komma åt andra s konton genom att gå igenom webbadresser, hela värdsystemet var extremt känsligt för någon form av SQL-injektion och det fanns:

“Ingen SSL var som helst ... All kommunikation är över okrypterade anslutningar, inklusive när lösenord, föräldrars uppgifter och känslig information om barn sänds.”

Han hittade också lösenord “krypterad” med en enkel MD5-hash, utan saltning, eller till och med syn på en avancerad hashingalgoritm, vilket innebär att alla med jämnt avancerade datorkunskaper skulle troligen spricka dem på kort tid.

Vidare lagras hemliga frågor och svar i vanlig text, utan några extra säkerhetsåtgärder alls. Hunt noterade också den dåliga kvaliteten på säkerhetsfrågorna, till exempel “Vilken är din favoritfärg?” eller “Var föddes du?” och annan lika lätt att upptäcka information.

Barnanvändare

När en förälder har skapat sitt vuxna konto kan barnkonton skapas. Varje barnkonto är direkt kopplat till det vuxna kontot, och de kan lägga till sin egen avatar, födelsedatum och kön.

Data lagras sedan i ett självreferensbord med hjälp av a “PARENT_ID” att länka båda kontona tillsammans, som så:

Det innebär att med alla de ytterligare uppgifter som säkras i brottet kan varje barn enkelt matchas med sin förälder och avslöja sina adresser tillsammans med andra personuppgifter.

Ändra T & C

Eftersom vi ofta konfronteras med långa användaravtal, personuppgifter, ändringar i villkoren för webbplatser, spel, tjänster och mer, har vi alla blivit lite blasé mot det språk som används. Jag kan absolut inte räkna mängden T & C jag har klickat igenom, och undrar om jag någon gång undertecknade min själ över.

Du skulle tro det vanliga svaret på en stor överträdelse av data Varför företag som bryter mot en hemlighet kan vara bra Varför företag som bryter mot en hemlighet kan vara bra Med all så mycket information online, oroar vi oss alla för eventuella säkerhetsbrott. Men dessa överträdelser kan hållas hemliga i USA för att skydda dig. Det låter galet, så vad händer? Read More är en robust undersökning av alla säkerhetsbrister, kanske välkomna det arbete som redan utförts av informationssäkerhetspersonal som försöker skydda känsliga uppgifter om barn.

Inte för VTech.

Istället uppdaterade de sina villkor med tydligt osäkra terminologi. I en sektion rubrikad Ansvarsbegränsning, villkor läser:

“Du bekräftar och godkänner att all information som du skickar eller mottar under din användning av webbplatsen inte är säker och kan bli avlyssnad eller senare förvärvad av obehöriga parter”

Jag är ledsen. Vad? Användaren är överens om att inte vara arg eller hålla företaget ansvarigt om de blir hackade igen? I 2016 kan hur företag som marknadsför någon form av nätverksanslutning på ett ansvarsfullt sätt skifta ansvaret för sina användare i ett scenario där de aktivt söker känslig information ligger bortom mig.

befrias?

Aldrig. Även före de villkor som baserade sig på den, undersökte Storbritanniens informationskommissionärs kontor dataskyddet. Håll dig uppdaterad med de senaste data läckorna. Följ dessa 5 tjänster och flöden fortsätt med de senaste data läckorna. Följ dessa 5 tjänster och flöden Läs mer , tillsammans med flera amerikanska statliga jurisdiktioner. På samma sätt, i direkt följd av överträdelsen, bekräftade Hongkongs sekretesskommissionär Stephen Wong att hans kontor hade inlett en “efterlevnadskontroll” på VTech för att bedöma om företaget hade följt grundläggande säkerhetsprinciper.

När jag skrev den här artikeln bekräftade den brittiska informationskommissionären att de nya villkoren skulle strida mot gällande brittisk lagstiftning med följande lydelse:

“Lagen är tydlig att det är organisationer som hanterar människors personuppgifter som är ansvariga för att hålla uppgifterna säkra”

Vad ska du göra?

Ärligt talat, tills VTech har visat sig ha genomgått sin säkerhetsoperation väsentligt, Använd inte deras produkter, inklusive deras hemsida.

I framtiden, innan du köper några nätverksbaserade barnleksaker, skulle det vara klokt att springa snabbt “[produktnamn / företagsnamn] + säkerhet” sök, eller du kan försöka “[produktnamn / företagsnamn] + hack / dataöverträdelse.” Någon av dessa kombinationer kommer snabbt att illustrera säkerhetsvården hos den produkt du ska ge till ditt barn.

Säkerhetsöverträdelser kommer att hända 3 Risker för dina personuppgifter När du bor på ett hotell 3 Risker för dina personuppgifter När du bor på ett hotell som bor på ett hotell kan det vara farligt för din datasäkerhet. Om du inte vill att din nästa resa ska bli en identitetsstöldmardröm, så här är några saker att tänka på. Läs mer . Vi lever i en massivt digitaliserad värld, dela känslig information Fem sätt att se till att dina personuppgifter kvarstår Säkra fem sätt att se till att dina personuppgifter kvarstår Säker Din data är du. Oavsett om det är en samling fotografier du tog, bilder du utvecklat, rapporterade du skrev, berättelser du tänkte på eller musik du samlade eller komponerade, berättar den en historia. Skydda det. Läs mer på ett stort antal webbplatser. Men vi behöver inte kasta oss in i skjutledningen Är Online Banking Safe? För det mesta, men här är 5 risker du borde veta om är online bank säker? Mestadels, men här är 5 risker du borde veta om det finns mycket att tycka om online banking. Det är bekvämt, kan förenkla ditt liv, du kan till och med få bättre sparräntor. Men är webbbanken lika säker som det borde vara? Läs mer, och lika har vi rätt att förvänta oss ett modikum av respekt. 3 Tips för onlinebedrägeribekämpning du behöver veta 2014. 4 Tips för onlinebedrägeribekämpning du behöver veta 2014 Läs mer till sekretess för våra personuppgifter - låt oss ensam för våra barn.

Påverkade av VTech-överträdelsen? Eller kan du sympatisera med en leksaksmakare i nätverks- och informationssäkerhetsvärlden? Låt oss veta nedan!

Bildkrediter: Hacker Man av tanberin via Shutterstock

Utforska mer om: Onlinesäkerhet, Leksaker.