Publicitate

A fost o perioadă tumultuoasă pentru furnizorii de produse electronice de învățare pentru copii, VTech. Compania din Hong Kong a anunțat planuri de achiziție pentru concurentul pe piața directă LeapFrog pentru 72 de milioane de dolari, extinzând drastic cota de piață și poziționându-se ca unul dintre cei mai importanți dezvoltatori și furnizori de produse electronice de învățare pentru copii. Din păcate, săptămâna nu a continuat așa cum era planificat.

VTech și-a actualizat termenii și condițiile în urma unui mare hack în 2015, schimbând flagrant responsabilitatea asupra părinților și îngrijitorilor fără o a doua gândire.

Ce s-au schimbat? Ce au asigurat? Ce ar trebui să faci?

Ce s-a întâmplat cu VTech?

VTech au fost hacked în noiembrie anul trecut VTech se ghemuiește, jack-urile Apple pentru căști... [Tech News Digest]Hackerii expun utilizatorii VTech, Apple ia în considerare scoaterea jackului pentru căști, luminile de Crăciun îți pot încetini Wi-Fi-ul, Snapchat se culcă cu (RED) și își amintește de The Special Wars Holiday Special. Citeste mai mult

instagram viewer
, atacatorul declanșând datele din peste 4 milioane de conturi pentru adulți și peste 6 milioane de conturi pentru copii. Hackul a expus datele personale Cinci modalități de a vă asigura că datele dvs. personale rămân sigureDatele dvs. sunteți voi. Fie că este vorba despre o colecție de fotografii pe care le-ați făcut, imagini pe care le-ați dezvoltat, rapoarte pe care le-ați scris, povești pe care le-ați gândit sau muzică pe care le-ați colectat sau compus, aceasta spune o poveste. Protejează-l. Citeste mai mult a fiecărui cont compromis, inclusiv nume, adrese de e-mail, parole, întrebări și răspunsuri secrete, adrese IP, adrese poștale și istorici de descărcare. Pe lângă aceasta, baza de date a magazinului de aplicații VTech, Learning Lodge, a fost, de asemenea, compromisă.

Dispozitiv VTech Tote and Go pentru învățarea copiilor

De aici, datele care includ jurnalele de chat, fișierele audio personale și fotografiile au fost compromise, multe aparținând direct copiilor folosind dispozitivele.

Vulnerabilitățile

Hack-ul a fost expus inițial de Lorenzo Bicchierai, scriind pentru tehnologia revistei Vice Plăci de bază publicare. După publicarea articolului inițial, Bicchierai a fost contactată de persoana care a pretins că a efectuat hack-ul, care a furnizat jurnalistului fotografii sensibile pentru verificare.

Bicchierai a invitat apoi specialistul în securitatea informațiilor Troy Hunt să analizeze datele furnizate pentru a confirma dacă scurgerea a fost legitimă, mai degrabă decât o farsă. La confirmare, Hunt a mai disecat datele și detaliile publicate ale vulnerabilităților care afectează VTech. Vulnerabilitățile, după cum a descoperit Hunt, erau atroce.

Defecțiunile de referință ale obiectelor au făcut ca utilizatorii să poată accesa cu ușurință conturile altora prin pășirea adreselor URL, întregul sistem gazdă era extrem de sensibil la orice formă de injecție SQL și exista:

„Niciun SSL nicăieri... Toate comunicările se realizează prin conexiuni necriptate, inclusiv atunci când se transmit parole, detaliile părinților și informații sensibile despre copii.”

De asemenea, el a găsit parolele „criptate” cu un simplu hash MD5, fără sărare, sau chiar vizualizarea unei hașe avansate algoritm, ceea ce înseamnă că oricine are abilități de calcul chiar ușor avansate le-ar putea sparge într-un spațiu scurt timp.

În plus, întrebările și răspunsurile secrete au fost stocate în text simplu, fără a fi luate măsuri suplimentare de securitate. De asemenea, Hunt a remarcat calitatea slabă a întrebărilor de securitate, cum ar fi „Care este culoarea ta preferată?” sau „Unde te-ai născut?” și alte informații la fel de simple de descoperit.

Utilizatori pentru copii

Odată ce un părinte și-a creat contul de adulți, se pot crea conturi pentru copii. Fiecare cont de copil este direct legat de contul de adulți și își pot adăuga propriul avatar, data nașterii și sexul.

Informații despre conturi pentru copii VTech CSVDatele sunt apoi stocate într-un tabel autoreferențial folosind un „parent_id” pentru a conecta ambele conturi, astfel:

Detaliile legate de contul VTech pentru adulți și copii

În sensul că, cu datele suplimentare securizate în încălcare, fiecare copil ar putea fi adaptat pur și simplu la părintele lor, dezvăluind adresele sale împreună cu reams de alte informații personale.

Schimbă T&C

Deoarece ne confruntăm atât de des cu acorduri de utilizare îndelungate, declarații de confidențialitate, modificări ale termenilor și condițiile site-urilor web, jocurilor, serviciilor și multe altele, devenim cu toții un pic blasé pentru limbă folosit. Absolut nu pot conta cantitatea de T&C pe care am făcut clic și mă întreb dacă la un moment dat mi-am semnat sufletul.

Ai crede că răspuns standard la o încălcare importantă a datelor De ce companiile care păstrează secretul încălcărilor ar putea fi un lucru bunCu atât de multe informații online, cu toții ne îngrijorează eventualele încălcări ale securității. Dar aceste încălcări ar putea fi păstrate secrete în SUA pentru a vă proteja. Pare nebun, deci ce se întâmplă? Citeste mai mult este o investigație robustă cu privire la toate deficiențele de securitate, binevenind deja munca deja completate de profesioniști în domeniul securității informației care încearcă să protejeze datele sensibile referitoare la copii.

Nu pentru VTech.

În schimb, și-au actualizat termenii și condițiile cu o terminologie distinct nesatisfăcătoare. Într-o secțiune cu titlul Limitare a răspunderii, termeni cititi:

„Recunoașteți și sunteți de acord că orice informații pe care le trimiteți sau primiți în timpul utilizării site-ului dvs. nu pot fi sigure și pot fi interceptate sau achiziționate ulterior de către părți neautorizate”

Imi pare rau. Ce? Utilizatorul este de acord să nu fie supărat sau să țină compania responsabilă dacă este hacked din nou? În 2016, modul în care orice companie care promovează orice formă de dispozitiv în rețea poate răspunde în mod responsabil responsabilitatea față de utilizatorii lor într-un scenariu în care aceștia caută activ informații sensibile este dincolo de mine.

Absolvita?

În nici un caz. Chiar înainte de termenii și condițiile lor bazate pe shenanigans, Biroul comisarului pentru informații al Regatului Unit a fost investigarea încălcării datelor Țineți pasul cu cele mai recente scurgeri de date - Urmați aceste 5 servicii și feeduri Citeste mai mult , impreuna cu mai multe jurisdicții ale statelor americane. În mod similar, în urma imediată a încălcării, comisarul pentru confidențialitate din Hong Kong, Stephen Wong, a confirmat biroul a inițiat un „control de conformitate” pe VTech pentru a evalua dacă compania a respectat securitatea de bază principii.

În timp ce scriam acest articol, Oficiul Comisarilor pentru Informații din Marea Britanie a confirmat că noii termeni și condiții ar contraveni legislației actuale a Regatului Unit, precizând:

„Legea este clar că organizațiile care gestionează datele personale ale persoanelor sunt responsabile pentru păstrarea securității acestor date”

Ceea ce ar trebui să faci?

Sincer, până când s-a dovedit că VTech și-a revizuit în mod substanțial operațiunea de securitate, nu folosiți produsele lor, inclusiv site-ul web.

chrome_2016-02-12_01-15-13

În viitor, înainte de a cumpăra o jucărie pentru copii în rețea, ar fi prudent să efectuați o căutare rapidă „[produs produs / nume companie] + securitate” sau puteți încerca „[Numele produsului / numele companiei] + încălcarea hack-ului / a datelor.” Oricare dintre aceste combinații va ilustra rapid starea de bine a securității produsului pe care urmează să îl predați copilul tău.

Încălcările de securitate se vor întâmpla 3 Riscuri pentru datele dvs. personale când stați la un hotelȘederea într-un hotel se poate dovedi periculoasă pentru securitatea datelor. Dacă nu doriți ca următoarea dvs. călătorie să se transforme într-un coșmar de furt de identitate, iată câteva lucruri de care trebuie să țineți cont. Citeste mai mult . Trăim într-o lume masiv digitalizată, schimbul de informații sensibile Cinci modalități de a vă asigura că datele dvs. personale rămân sigureDatele dvs. sunteți voi. Fie că este vorba despre o colecție de fotografii pe care le-ați făcut, imagini pe care le-ați dezvoltat, rapoarte pe care le-ați scris, povești pe care le-ați gândit sau muzică pe care le-ați colectat sau compus, aceasta spune o poveste. Protejează-l. Citeste mai mult pe un număr imens de site-uri. Cu toate acestea, nu trebuie ne aruncăm în linia de tragere Este bancar online în siguranță? Mai ales, dar aici sunt 5 riscuri despre care ar trebui să știțiÎn ceea ce privește serviciile bancare online, există multe lucruri care vă plac. Este convenabil, îți poate simplifica viața, s-ar putea să obții și rate de economie mai bune. Dar serviciile bancare online sunt la fel de sigure și sigure pe cât ar trebui să fie? Citeste mai mult și, în egală măsură, avem dreptul să ne așteptăm un modic de respect 3 sfaturi online pentru prevenirea fraudei pe care trebuie să le știi în 2014 Citeste mai mult la confidențialitatea datelor noastre personale - să nu mai vorbim de cea a copiilor noștri

A fost afectat de încălcarea VTech? Sau puteți simpatiza cu un producător de jucării în lumea rețelelor și securității informațiilor? Spuneți-ne mai jos!

Credite imagine:Hacker Man de tanberin prin Shutterstock

Gavin este un scriitor principal pentru MUO. El este, de asemenea, editorul și managerul SEO pentru site-ul suror-focalizat MakeUseOf, Blocks Decoded. Are o diplomă de scriere contemporană (Hons), cu practici de artă digitală, puse de pe dealurile Devon, precum și peste un deceniu de experiență de scriere profesională. Îi savurează cantități copioase de ceai.