Sicurezza

VTech giocando con i dati dei tuoi figli

VTech giocando con i dati dei tuoi figli / Sicurezza

È stato un momento tumultuoso per i fornitori di prodotti per l'apprendimento elettronico dei bambini, VTech. La società con sede ad Hong Kong ha annunciato piani di acquisizione per concorrenti diretti sul mercato Cavallina per $ 72 milioni, espandendo drasticamente la propria quota di mercato e posizionandosi come uno dei principali sviluppatori e fornitori di prodotti di apprendimento elettronico per bambini. Sfortunatamente, la settimana non è andata come previsto.

VTech ha aggiornato i termini e le condizioni in seguito a un grande attacco nel 2015, spostando palesemente l'onere della responsabilità sui genitori e gli assistenti senza pensarci due volte.

Cosa sono cambiati? Cosa hanno assicurato? Cosa dovresti fare??

Cosa è successo a VTech?

VTech è stato hackerato lo scorso novembre VTech ottiene hackerato, Apple Hates Jack per cuffie ... [Tech News Digest] VTech ottiene hackerato, Apple odia Jack per cuffie ... [Tech News Digest] Gli hacker denunciano gli utenti di VTech, Apple ritiene di rimuovere il jack per le cuffie, le luci di Natale possono rallentare il tuo Wi-Fi, Snapchat va a letto con (RED) e ricorda lo Star Wars Holiday Special. Per saperne di più, l'aggressore che ha superato i dati di oltre 4 milioni di account per adulti e oltre 6 milioni di account secondari. L'hack ha rivelato i dati personali Cinque modi per garantire la sicurezza dei tuoi dati personali Cinque modi per garantire che i tuoi dati personali rimangano protetti I tuoi dati sei tu. Che si tratti di una raccolta di fotografie scattate, di immagini che hai sviluppato, di rapporti scritti, di storie che hai ideato o di musica che hai raccolto o composto, racconta una storia. Proteggilo. Leggi di più su ogni account compromesso inclusi nomi, indirizzi e-mail, password, domande e risposte segrete, indirizzi IP, indirizzi postali e cronologie di download. Inoltre, anche il database di App Store di VTech, Learning Lodge, è stato compromesso.

Da qui, i dati inclusi i registri delle chat, i file audio personali e le fotografie sono stati compromessi, molti dei quali appartengono direttamente ai bambini che utilizzano i dispositivi.

vulnerabilità

L'hack è stato inizialmente esposto da Lorenzo Bicchierai, scrivendo per la rivista focalizzata sulla tecnologia di Vice magazine motherboard pubblicazione. Dopo che l'articolo iniziale fu pubblicato, Bicchierai fu contattato dall'individuo sostenendo di aver eseguito l'hack, il quale fornì fotografie sensibili al giornalista per la verifica.

Bicchierai ha quindi invitato lo specialista della sicurezza delle informazioni Troy Hunt ad analizzare i dati forniti per confermare se la perdita fosse legittima, piuttosto che una bufala. Alla conferma, Hunt ha ulteriormente analizzato i dati e ha pubblicato i dettagli delle vulnerabilità che riguardano VTech. Le vulnerabilità, come scoprì Hunt, erano atroci.

I difetti di riferimento degli oggetti significavano che gli utenti potevano facilmente accedere agli account degli altri passando attraverso gli URL, l'intero sistema host era estremamente sensibile a qualsiasi forma di iniezione SQL e c'era:

“Nessun SSL da nessuna parte ... Tutte le comunicazioni sono su connessioni non crittografate, incluse le password, i dati dei genitori e le informazioni sensibili sui bambini.”

Ha anche trovato le password “criptato” con un semplice hash MD5, senza salatura, o addirittura con la vista di un algoritmo di hashing avanzato, il che significa che chiunque abbia anche capacità di calcolo anche leggermente avanzate probabilmente li incrinerebbe in un breve lasso di tempo.

Inoltre, le domande e le risposte segrete sono state archiviate in testo semplice, senza ulteriori misure di sicurezza. Hunt ha anche notato la scarsa qualità delle domande di sicurezza, come ad esempio “Qual è il tuo colore preferito?” o “Dove sei nato?” e altre informazioni altrettanto semplici da scoprire.

Utenti bambini

Una volta che un genitore ha creato il proprio account per adulti, è possibile creare account secondari. Ogni account figlio è direttamente collegato all'account per adulti e può aggiungere il proprio avatar, data di nascita e sesso.

I dati vengono quindi memorizzati in una tabella autoreferenziale usando a “parent_id” per collegare entrambi gli account insieme, in questo modo:

Ciò significa che con i dati aggiuntivi protetti nella violazione, ogni bambino potrebbe essere semplicemente abbinato al genitore, rivelando i propri indirizzi insieme a risme di altre informazioni personali.

Cambia il T & C

Dato che siamo così spesso confrontati con lunghi accordi con gli utenti, dichiarazioni sulla privacy, modifiche ai termini e alle condizioni di siti Web, giochi, servizi e altro, siamo diventati tutti un po 'blasé per il linguaggio utilizzato. Non posso assolutamente contare la quantità di T & C su cui ho fatto clic e mi chiedo se a un certo punto ho firmato la mia anima.

Potresti pensare alla risposta standard a una grave violazione dei dati Perché le aziende che violano il segreto potrebbero essere una buona cosa Perché le aziende che violano il segreto potrebbero essere una buona cosa Con così tante informazioni online, tutti noi ci preoccupiamo di potenziali violazioni della sicurezza. Ma queste violazioni potrebbero essere tenute segrete negli Stati Uniti per proteggerti. Sembra pazzesco, quindi cosa sta succedendo? Read More è una solida indagine su tutte le carenze di sicurezza, forse accogliendo con favore il lavoro già completato dai professionisti della sicurezza delle informazioni che stanno tentando di salvaguardare i dati sensibili relativi ai minori.

Non per VTech.

Invece, hanno aggiornato i loro termini e condizioni con una terminologia distintamente sgradevole. In una sezione in evidenza Limitazione di responsabilità, termini letti:

“L'utente riconosce e accetta che tutte le informazioni inviate o ricevute durante l'utilizzo del sito potrebbero non essere sicure e potrebbero essere intercettate o successivamente acquisite da parti non autorizzate”

Mi dispiace. Che cosa? L'utente accetta di non essere arrabbiato o di ritenere la società responsabile se viene nuovamente compromesso? Nel 2016, come qualsiasi azienda che promuove qualsiasi forma di dispositivo in rete in modo responsabile può spostare l'onere della responsabilità sui propri utenti in uno scenario in cui sono attivamente alla ricerca di informazioni sensibili è oltre me.

assolto?

Non c'è modo. Anche prima dei loro shenanigans basati su termini e condizioni, l'Ufficio del Commissario per le informazioni del Regno Unito stava indagando sulla violazione dei dati. Mantenere le ultime perdite di dati - Seguire questi 5 servizi e feed Tenere il passo con le ultime perdite di dati - Seguire questi 5 servizi e feed Ulteriori informazioni , insieme a più giurisdizioni degli Stati Uniti. Allo stesso modo, subito dopo la violazione, il Commissario per la privacy di Hong Kong, Stephen Wong, ha confermato che il suo ufficio aveva avviato un accordo “controllo di conformità” su VTech per valutare se l'azienda ha aderito ai principi di sicurezza di base.

Mentre stavo scrivendo questo articolo, l'Ufficio britannico dei Commissari per l'informazione ha confermato che i nuovi termini e condizioni sarebbero in contrasto con l'attuale legge del Regno Unito, affermando:

“La legge è chiara che sono le organizzazioni che gestiscono i dati personali delle persone che sono responsabili della conservazione di tali dati”

Cosa dovresti fare?

Onestamente, fino a quando non è stato dimostrato che VTech ha sostanzialmente rinnovato le loro operazioni di sicurezza, non usare i loro prodotti, incluso il loro sito web.

In futuro, prima di acquistare qualsiasi giocattolo per bambini in rete, sarebbe prudente eseguire un rapido “[nome prodotto / nome azienda] + sicurezza” cerca, o potresti provare “[nome prodotto / nome azienda] + hack / violazione dati.” Ognuna di queste combinazioni illustrerà rapidamente il benessere della sicurezza del prodotto che stai per consegnare a tuo figlio.

Le violazioni della sicurezza stanno per accadere 3 Rischi per i vostri dati personali quando soggiornate in un hotel 3 Rischi per i vostri dati personali quando soggiornate in un hotel Soggiornare in un hotel può rivelarsi pericoloso per la sicurezza dei vostri dati. Se non vuoi che il tuo prossimo viaggio si trasformi in un incubo di furti d'identità, ecco alcune cose da tenere a mente. Leggi di più . Viviamo in un mondo massicciamente digitalizzato, condividendo informazioni sensibili Cinque modi per garantire la sicurezza dei tuoi dati personali Cinque modi per garantire che i tuoi dati personali rimangano protetti I tuoi dati sei tu. Che si tratti di una raccolta di fotografie scattate, di immagini che hai sviluppato, di rapporti scritti, di storie che hai ideato o di musica che hai raccolto o composto, racconta una storia. Proteggilo. Leggi di più su un numero enorme di siti. Tuttavia, non dobbiamo gettarci nella linea di fuoco. Online Banking è sicuro? Per lo più, ma qui ci sono 5 rischi che dovreste sapere è sicuro online banking? Per lo più, ma qui ci sono 5 rischi che dovreste sapere sull'affare online c'è molto da amare. È conveniente, può semplificarti la vita, potresti anche ottenere migliori tassi di risparmio. Ma l'online banking è sicuro e sicuro come dovrebbe essere? Leggi di più, e allo stesso modo, abbiamo il diritto di aspettarci un minimo di rispetto 3 Suggerimenti per la prevenzione delle frodi online che devi conoscere nel 2014 3 Suggerimenti per la prevenzione delle frodi online che devi conoscere nel 2014 Ulteriori informazioni sulla privacy dei nostri dati personali - lascia solo quello dei nostri figli.

Colpito dalla violazione VTech? O puoi simpatizzare con un produttore di giocattoli nel mondo della sicurezza delle reti e della sicurezza? Facci sapere di seguito!

Crediti immagine: Hacker Man di tanberin via Shutterstock

Scopri di più su: Privacy online, Giocattoli.