VTech joacă relaxat cu datele copiilor tăi
A fost un timp tumultuos pentru furnizorii de produse electronice de învățare pentru copii, VTech. Compania din Hong Kong a anunțat planurile de achiziție pentru un concurent direct pe piață LeapFrog pentru 72 milioane dolari, extinderea drastică a cotei lor de piață și poziționarea lor ca fiind unul dintre principalii dezvoltatori și furnizori ai produselor de învățare electronică pentru copii. Din păcate, săptămâna nu a continuat conform planului.
VTech și-a actualizat termenii și condițiile în urma unei hack-uri mari în 2015, schimbând în mod flagrant responsabilitatea responsabilității asupra părinților și îngrijitorilor fără a avea un al doilea gând.
Ce s-au schimbat? Ce au asigurat? Ce ar trebui să faci?
Ce sa întâmplat cu VTech?
VTech a fost hacked în noiembrie anul trecut VTech a fost hacked, Apple ascunde căștile pentru căști ... [Tech News Digest] VTech devine hacked, Apple uraste căștile pentru căști ... [Tech News Digest] Hackerii expun utilizatorilor VTech, Apple consideră eliminarea mufei pentru căști, Wi-Fi-ul tău, Snapchat devine în pat cu (RED) și îți amintești de Star Wars Holiday Special. Citește mai mult, atacatorul cedând datele de la peste 4 milioane de conturi pentru adulți și peste 6 milioane de conturi pentru copii. Hack-ul a expus datele personale Cinci moduri de a vă asigura că datele dvs. personale rămân securizate Cinci moduri de a vă asigura că datele dvs. personale rămân securizate Datele dvs. sunt pe dumneavoastră. Fie că este vorba de o colecție de fotografii pe care le-ați luat, de imagini pe care le-ați dezvoltat, de rapoarte pe care le-ați scris, de povestiri pe care le-ați crezut sau de muzică pe care le-ați colectat sau compuse, povestește o poveste. Protejați-l. Citiți mai multe despre fiecare cont compromis, inclusiv numele, adresele de e-mail, parolele, întrebările și răspunsurile secrete, adresele IP, adresele de e-mail și istoricul descărcărilor. Pe lângă aceasta, baza de date a magazinelor de aplicații VTech, Learning Lodge, a fost, de asemenea, compromisă.
De aici, au fost compromise datele, inclusiv jurnalele de chat, fișierele audio personale și fotografiile, multe aparținând direct copiilor care utilizează dispozitivele.
Vulnerabilitățile
Hack-ul a fost inițial expus de Lorenzo Bicchierai, scriind pentru vice-revista de tehnologie-concentrat Plăci de bază publicare. După publicarea articolului inițial, Bicchierai a fost contactat de persoana care a pretins că a efectuat hack-ul, care a furnizat fotografiile delicate jurnalistului pentru verificare.
Bicchierai a invitat apoi specialistul în domeniul securității informației, Troy Hunt, să analizeze datele furnizate pentru a confirma dacă scurgeri au fost legitime, mai degrabă decât o farsă. La confirmare, Hunt a disecat datele și a publicat detaliile vulnerabilităților care afectează VTech. Vulnerabilitățile, descoperite de Hunt, erau atroce.
Obiectele de referință ale obiectelor au însemnat că utilizatorii pot accesa cu ușurință conturile altora, trecând prin adrese URL, întregul sistem gazdă a fost extrem de sensibil la orice formă de injecție SQL și a existat:
“Nu există SSL oriunde ... Toate comunicațiile sunt peste conexiuni necriptate, inclusiv atunci când sunt transmise parolele, detaliile părintelui și informațiile sensibile despre copii.”
De asemenea, a găsit parole “criptat” cu un simplu hash de MD5, fără saltare sau chiar cu un algoritm de hashing avansat, ceea ce înseamnă că oricine ar avea abilități de calcul chiar mai puțin avansate ar putea să-i spargă într-un timp scurt.
În plus, întrebările și răspunsurile secrete au fost păstrate în text simplu, fără măsuri suplimentare de securitate. Hunt a remarcat, de asemenea, calitatea slabă a întrebărilor de securitate, cum ar fi “Care este culoarea ta preferata?” sau “Unde te-ai nascut?” și alte informații la fel de ușor de descoperit.
Utilizatorii de copii
Odată ce un părinte și-a creat contul pentru adulți, pot fi create conturile copilului. Fiecare cont copil este conectat direct la contul pentru adulți și poate adăuga propriul avatar, data nașterii și sexul.
Datele sunt apoi stocate într-o tabelă de autoreferențiere utilizând a “PARENT_ID” pentru a conecta ambele conturi împreună, cum ar fi:
În sensul că, cu datele suplimentare asigurate în încălcare, fiecare copil ar putea fi pur și simplu asociat cu părintele său, dezvăluindu-și adresele împreună cu alte informații personale.
Modificați T & C
Deoarece ne confruntăm adesea cu contracte lungi de utilizare, declarații de confidențialitate, modificări ale termenilor și condițiilor site-urilor web, jocuri, servicii și multe altele, am devenit cu toții puțin blasé față de limba folosită. Nu pot să mă gândesc absolut la valoarea T & C pe care am făcut clic și mă întreb dacă într-un anumit moment mi-am semnat sufletul.
V-ați gândi că răspunsul standard la o încălcare majoră a datelor Companiile care păstrează încălcarea unui secret ar putea fi un lucru bun De ce companiile care păstrează încălcarea unui secret ar putea fi un lucru bun Cu atât de multe informații on-line, ne îngrijorăm cu toții despre posibile încălcări ale securității. Dar aceste încălcări ar putea fi păstrate în secret în SUA pentru a vă proteja. Sună nebun, deci ce se întâmplă? Citiți mai mult este o anchetă solidă cu privire la toate deficiențele de securitate, probabil salutând activitatea deja realizată de profesioniștii din domeniul securității informațiilor care încearcă să protejeze datele sensibile referitoare la copii.
Nu pentru VTech.
În schimb, ei și-au actualizat termenii și condițiile cu o terminologie distinctă. Într-o secțiune cu titlu Limitare a răspunderii, termenii sunt citiți:
“Recunoașteți și sunteți de acord că orice informații pe care le trimiteți sau le primiți în timpul utilizării site-ului dvs. pot să nu fie sigure și pot fi interceptate sau ulterior achiziționate de părți neautorizate”
Imi pare rau. Ce? Utilizatorul este de acord să nu fie supărat sau să dețină compania responsabilă dacă sunt speriate din nou? În 2016, modul în care orice companie care promovează în mod responsabil orice formă de dispozitiv conectat în rețea poate transfera povara responsabilității către utilizatorii săi într-un scenariu în care caută în mod activ informații sensibile este dincolo de mine.
absolvita?
În nici un caz. Chiar si inainte de termenii si conditiile pe care le-au intalnit, biroul britanic de informatii a fost investigheaza incalcarea datelor Keep Up With the Latest Data Leaks - Urmati aceste 5 servicii & feed-uri ține pasul cu ultimele pierderi de date - urmați aceste 5 servicii & , împreună cu mai multe jurisdicții ale Statelor Unite. În mod similar, în urma imediată a încălcării, Comisarul pentru Protecția Datelor din Hong Kong, Stephen Wong, a confirmat că biroul său a inițiat o acțiune “verificarea conformității” pe VTech să evalueze dacă societatea a aderat la principiile de securitate de bază.
În timp ce scriu acest articol, Biroul Comisiei pentru Informații Publice din Marea Britanie a confirmat că noii termeni și condiții ar contraveni legislației actuale din Marea Britanie, menționând:
“Legea este clar că organizațiile care manipulează datele personale ale persoanelor sunt responsabile pentru păstrarea acestor date în siguranță”
Ceea ce ar trebui să faci?
Sincer, până când sa dovedit că VTech și-a revizuit substanțial operațiunile de securitate, nu folosiți produsele lor, inclusiv site-ul lor web.
În viitor, înainte de a cumpăra orice jucărie în rețea pentru copii, ar fi prudent să conduci rapid “[nume produs / nume companie] + securitate” căutați sau ați putea încerca “[nume produs / nume companie] + încălcarea hack / date.” Oricare dintre aceste combinații va ilustra rapid bunăstarea în siguranță a produsului pe care sunteți pe punctul de a-l preda copilului.
Se vor întâmpla încălcări ale securității 3 Riscuri la adresa datelor dvs. personale atunci când vă aflați la un hotel 3 Riscuri la adresa datelor dvs. personale atunci când vă aflați într-un hotel Starea într-un hotel se poate dovedi a fi periculoasă pentru securitatea datelor dumneavoastră. Dacă nu doriți ca următoarea călătorie să se transforme într-un coșmar de furt de identitate, iată câteva lucruri pe care să le aveți în vedere. Citeste mai mult . Trăim într-o lume masiv digitizată, împărtășim informații sensibile Cinci moduri de a vă asigura că datele dvs. personale rămân securizate Cinci moduri de a vă asigura că datele dvs. personale rămân securizate Datele dvs. vă aparțin. Fie că este vorba de o colecție de fotografii pe care le-ați luat, de imagini pe care le-ați dezvoltat, de rapoarte pe care le-ați scris, de povestiri pe care le-ați crezut sau de muzică pe care le-ați colectat sau compuse, povestește o poveste. Protejați-l. Citiți mai multe pe un număr foarte mare de site-uri. Cu toate acestea, nu trebuie să ne aruncăm în linia de lansare Este banca online sigură? De cele mai multe ori, dar aici sunt 5 riscuri pe care ar trebui să știți despre banca on-line în siguranță? Majoritatea, dar aici sunt 5 riscuri pe care ar trebui să știți despre Există o mulțime de a plăcea despre online banking. Este convenabil, vă poate simplifica viața, ați putea obține chiar și ratele de economisire mai bune. Dar banca online este la fel de sigură și sigură cum ar trebui să fie? Citiți mai multe și, în mod egal, avem dreptul de a aștepta un minim de respect 3 Sfaturi online de prevenire a fraudei pe care trebuie să le cunoașteți în 2014 3 Sfaturi de prevenire a fraudelor online pe care trebuie să le cunoașteți în 2014 Citiți mai multe despre confidențialitatea datelor noastre personale - în afară de copiii noștri.
Afectat de încălcarea VTech? Sau puteți simpatiza cu un producător de jucării în lumea securității rețelelor și a informațiilor? Spuneți-ne mai jos!
Credite de imagine: Hacker Man by tanberin prin Shutterstock
Explorați mai multe despre: confidențialitatea online, jucării.