Annuncio pubblicitario

È stato un periodo tumultuoso per i fornitori di prodotti di apprendimento elettronico per bambini, VTech. La società con sede a Hong Kong ha annunciato piani di acquisizione per i concorrenti del mercato diretto Cavallina per $ 72 milioni, espandendo drasticamente la propria quota di mercato e posizionandosi come uno dei principali sviluppatori e fornitori di prodotti per l'apprendimento elettronico dei bambini. Sfortunatamente, la settimana non è continuata come previsto.

VTech ha aggiornato i termini e le condizioni a seguito di un grande hack nel 2015, spostando palesemente l'onere della responsabilità su genitori e tutori senza pensarci due volte.

Cosa sono cambiati? Cosa si sono assicurati? Cosa dovresti fare?

Cosa è successo a VTech?

VTech è stato violato lo scorso novembre VTech viene hackerato, Jack per cuffie Apple Hates... [Tech News Digest]Gli hacker espongono gli utenti VTech, Apple considera la rimozione del jack per le cuffie, le luci di Natale possono rallentare il tuo Wi-Fi, Snapchat si mette a letto con (ROSSO) e ricorda lo Star Holiday Holiday Special.

instagram viewer
Leggi di più , l'attaccante che si sta sbarazzando dei dati provenienti da oltre 4 milioni di account per adulti e oltre 6 milioni di account figlio. L'hack esposto i dati personali Cinque modi per garantire la sicurezza dei tuoi dati personaliI tuoi dati sei tu. Che si tratti di una raccolta di fotografie che hai scattato, di immagini che hai sviluppato, di rapporti che hai scritto, di storie che hai pensato o di musica che hai raccolto o composto, racconta una storia. Proteggilo. Leggi di più di ciascun account compromesso, inclusi nomi, indirizzi e-mail, password, domande e risposte segrete, indirizzi IP, indirizzi postali e cronologie di download. Oltre a questo, anche il database dell'app store di VTech, Learning Lodge, è stato compromesso.

Dispositivo di apprendimento per bambini VTech Tote and Go

Da qui, i dati tra cui i registri delle chat, i file audio personali e le fotografie sono stati compromessi, molti dei quali appartenenti direttamente ai bambini che utilizzano i dispositivi.

vulnerabilità

L'hack è stato inizialmente esposto da Lorenzo Bicchierai, scrivendo per la tecnologia della rivista Vice motherboard pubblicazione. Dopo che l'articolo iniziale è stato pubblicato, Bicchierai è stato contattato dall'individuo che affermava di aver eseguito l'hacking, che ha fornito fotografie sensibili al giornalista per la verifica.

Bicchierai ha quindi invitato lo specialista della sicurezza delle informazioni Troy Hunt ad analizzare i dati forniti per confermare se la perdita fosse legittima, piuttosto che una bufala. Alla conferma, Caccia ulteriormente sezionato i dati e i dettagli pubblicati delle vulnerabilità che interessano VTech. Le vulnerabilità, come scoprì Hunt, erano atroci.

Difetti di riferimento agli oggetti significavano che gli utenti potevano accedere facilmente agli account degli altri passando attraverso gli URL, l'intero sistema host era estremamente sensibile a qualsiasi forma di iniezione SQL e c'erano:

"Nessun SSL ovunque... Tutte le comunicazioni avvengono tramite connessioni non crittografate, incluso quando vengono trasmesse password, dettagli dei genitori e informazioni sensibili sui bambini."

Ha anche trovato le password "crittografate" con un semplice hash MD5, senza sale o addirittura con la vista di un hashing avanzato algoritmo, il che significa che chiunque con abilità di elaborazione anche leggermente avanzate li spezzerebbe probabilmente in un breve spazio di tempo.

Inoltre, le domande e le risposte segrete sono state archiviate in testo semplice, senza ulteriori misure di sicurezza. Hunt ha anche notato la scarsa qualità delle domande di sicurezza, come "Qual è il tuo colore preferito?" o "Dove sei nato?" e altre informazioni ugualmente semplici da scoprire.

Utenti minori

Una volta che un genitore ha creato il proprio account per adulti, è possibile creare account per bambini. Ogni account figlio è direttamente collegato all'account adulto e possono aggiungere il proprio avatar, la data di nascita e il sesso.

Informazioni sull'account del bambino VTech Dettagli CSVI dati vengono quindi archiviati in una tabella autoreferenziale utilizzando un "parent_id" per collegare entrambi gli account insieme, in questo modo:

Dettagli sul collegamento dell'account VTech per adulti e bambini

Ciò significa che con i dati aggiuntivi garantiti nella violazione, ogni bambino potrebbe essere semplicemente abbinato al proprio genitore, rivelando i propri indirizzi insieme a risme di altre informazioni personali.

Cambia i T&C

Dato che ci troviamo spesso di fronte a lunghi accordi con gli utenti, dichiarazioni sulla privacy, modifiche ai termini e condizioni di siti Web, giochi, servizi e altro ancora, siamo diventati tutti un po 'blasé nella lingua Usato. Non posso assolutamente contare la quantità di T&C che ho cliccato, e mi chiedo se a un certo punto ho firmato la mia anima.

Penseresti al risposta standard a una grave violazione dei dati Perché le aziende che mantengono segrete le violazioni potrebbero essere una buona cosaCon così tante informazioni online, siamo tutti preoccupati per potenziali violazioni della sicurezza. Ma queste violazioni potrebbero essere tenute segrete negli Stati Uniti per proteggerti. Sembra folle, quindi cosa sta succedendo? Leggi di più è un'indagine approfondita su tutte le carenze di sicurezza, forse accogliendo già il lavoro completato da professionisti della sicurezza delle informazioni che stanno tentando di salvaguardare i dati sensibili relativi a bambini.

Non per VTech.

Invece, hanno aggiornato i loro termini e condizioni con una terminologia nettamente sgradevole. In una sezione intitolata Limitazione di responsabilità, i termini leggono:

"Riconosci e accetti che qualsiasi informazione che invii o ricevi durante l'utilizzo del sito potrebbe non essere sicura e potrebbe essere intercettata o successivamente acquisita da parti non autorizzate"

Mi dispiace. Che cosa? L'utente accetta di non essere arrabbiato o di ritenere responsabile l'azienda se viene nuovamente violato? Nel 2016, il modo in cui qualsiasi azienda che promuove responsabilmente qualsiasi forma di dispositivo in rete può spostare il carico di la responsabilità sui loro utenti in uno scenario in cui sono attivamente alla ricerca di informazioni sensibili oltre me.

Assolto?

Non c'è modo. Anche prima dei loro shenanigans basati su termini e condizioni, i L'ufficio del Commissario per le informazioni nel Regno Unito era indagare sulla violazione dei dati Tieniti aggiornato sulle ultime perdite di dati: segui questi 5 servizi e feed Leggi di più , insieme a più giurisdizioni degli Stati Uniti. Allo stesso modo, nell'immediato seguito della violazione, il commissario per la privacy di Hong Kong Stephen Wong ha confermato la sua l'ufficio aveva avviato un "controllo di conformità" su VTech per valutare se la società avesse aderito alla sicurezza di base i principi.

Mentre stavo scrivendo questo articolo, l'Ufficio dei Commissari per le informazioni del Regno Unito ha confermato che i nuovi termini e condizioni avrebbero violato l'attuale legge del Regno Unito, affermando:

"La legge è chiara che sono le organizzazioni che gestiscono i dati personali delle persone che sono responsabili della protezione di tali dati"

Cosa dovresti fare?

Onestamente, fino a quando VTech non avrà dimostrato di aver sostanzialmente rivisto le proprie operazioni di sicurezza, non utilizzare i loro prodotti, incluso il loro sito Web.

chrome_2016-02-12_01-15-13

In futuro, prima di acquistare qualsiasi giocattolo per bambini in rete, sarebbe prudente eseguire una rapida ricerca [[nome prodotto / nome azienda] + sicurezza ”, oppure potresti provare "[Nome prodotto / nome azienda] + violazione di hack / dati." Una di queste combinazioni illustrerà rapidamente il benessere di sicurezza del prodotto che stai per consegnare il tuo bambino.

Le violazioni della sicurezza accadranno 3 Rischi per i dati personali dell'utente in un hotelSoggiornare in un hotel può rivelarsi pericoloso per la sicurezza dei dati. Se non vuoi che il tuo prossimo viaggio si trasformi in un incubo per furto di identità, ecco alcune cose da tenere a mente. Leggi di più . Viviamo in un mondo fortemente digitalizzato, condivisione di informazioni sensibili Cinque modi per garantire la sicurezza dei tuoi dati personaliI tuoi dati sei tu. Che si tratti di una raccolta di fotografie che hai scattato, di immagini che hai sviluppato, di rapporti che hai scritto, di storie che hai pensato o di musica che hai raccolto o composto, racconta una storia. Proteggilo. Leggi di più attraverso un numero enorme di siti. Tuttavia, non è necessario gettarci nella linea di tiro L'online banking è sicuro? Principalmente, ma qui ci sono 5 rischi che dovresti conoscereC'è molto da apprezzare sull'online banking. È conveniente, può semplificarti la vita, potresti persino ottenere tassi di risparmio migliori. Ma l'online banking è sicuro come dovrebbe essere? Leggi di più e allo stesso modo, abbiamo il diritto di aspettarci un briciolo di rispetto 3 consigli per la prevenzione delle frodi online che devi conoscere nel 2014 Leggi di più alla privacy dei nostri dati personali - per non parlare di quella dei nostri figli.

Interessato dalla violazione di VTech? Oppure puoi simpatizzare con un produttore di giocattoli nel mondo della sicurezza delle reti e delle informazioni? Facci sapere di seguito!

Crediti immagine:Hacker Man di tanberin via Shutterstock

Gavin è Senior Writer per MUO. È anche redattore e SEO Manager del sito gemello focalizzato sulla crittografia di MakeUseOf, Blocks Decoded. Ha una BA (Hons) Contemporary Writing with Digital Art Practices saccheggiata dalle colline del Devon, oltre a oltre un decennio di esperienza professionale nella scrittura. Gli piace abbondanti quantità di tè.