Vtech: jogando solto com os dados de seus filhos
Video: ▼ QUAIS SÃO OS PRINCIPAIS DEUSES GREGOS? ▼
Conteúdo
Tem sido uma época tumultuada para os fornecedores de produtos eletrônicos de aprendizagem das crianças, VTech. A empresa baseada em Hong Kong anunciou planos de aquisição para concorrente no mercado direto LeapFrog por US $ 72 milhões, expandindo drasticamente sua participação de mercado e posicionar-se como um dos desenvolvedores principais de e fornecedores de produtos de aprendizagem electrónica das crianças. Infelizmente, a semana não continuar como planejado.
VTech atualizou seus termos e condições a seguir um grande corte em 2015, descaradamente deslocando o peso da responsabilidade para os pais e encarregados de educação, sem um segundo pensamento.
O que eles têm mudado? O que eles têm garantido? O que você deve fazer?
O que aconteceu com VTech?
VTech foram cortados em novembro passado, o atacante making off com os dados de mais de 4 milhões de contas de adultos, e mais de 6 milhões de contas de criança. o hack expostos os dados pessoais de cada conta comprometida, incluindo nomes, endereços de email, senhas, perguntas secretas e respostas, endereços IP, endereços de correio e histórias de download. Assim como esta, banco de dados App Store da VTech, Aprendizagem Lodge, também foi comprometida.VTech Obtém Hacked, maçã odeie auscultadores Jacks ... [Tech News Digest]VTech Obtém Hacked, maçã odeie auscultadores Jacks ... [Tech News Digest]Hackers expor os usuários VTech, a Apple considera remover o fone de ouvido, luzes de Natal pode abrandar o seu Wi-Fi, Snapchat vai para a cama com (RED), e lembrando O Star Wars Holiday Special.consulte Mais informação
A partir daqui, os dados, incluindo registros de chat, arquivos e fotografias de áudio pessoais foram comprometidos, muitos pertencentes diretamente para as crianças que usam os dispositivos.
vulnerabilidades
O hack foi inicialmente exposta por Lorenzo Bicchierai, escrevendo para o vice-revista de tecnologia com foco motherboard publicação. Após o artigo inicial foi publicado, Bicchierai foi contactado pelo indivíduo alegando ter realizado o corte, que forneceu fotografias sensíveis ao jornalista para verificação.
Bicchierai então convidado especialista em segurança da informação Troy Hunt para analisar os dados fornecidos para confirmar se o vazamento era legítimo, em vez de uma farsa. Com a confirmação, Hunt dissecados ainda mais os dados e publicou detalhes das vulnerabilidades que afetam VTech. As vulnerabilidades, como caça descoberto, foram atroz.
falhas referência de objeto significava os usuários podem facilmente acessar as contas dos outros, percorrendo URLs, todo o sistema de acolhimento foi extremamente sensíveis a qualquer forma de injeção SQL, e lá estava:
“Sem SSL em qualquer lugar ... Todas as comunicações são através de conexões não criptografadas, incluindo quando as senhas, detalhes do pai e informações confidenciais sobre as crianças é transmitida.”
Ele também descobriu senhas “criptografada” com um simples hash MD5, sem salga, ou mesmo visão de um algoritmo de hash avançada, o que significa que qualquer pessoa com habilidades de computação mesmo ligeiramente avançados provavelmente quebrá-las em um curto espaço de tempo.
Além disto, perguntas secretas e respostas foram armazenadas em texto simples, sem medidas adicionais de segurança em tudo. Caça também observou a má qualidade das perguntas de segurança, tais como “Qual é a sua cor favorita?” Ou “Onde você nasceu?”, E outros igualmente simples de descobrir informações.
Usuários criança
Uma vez que um pai criou a sua conta de adulto, contas de criança pode ser criado. Cada conta de criança está diretamente ligada à conta de adulto, e eles podem adicionar seu próprio avatar, data de nascimento e sexo.
Os dados são então armazenados em uma tabela de auto-referenciação usando um “parent_id” para ligar as duas contas em conjunto, assim:
O que significa que com os dados adicionais garantidos na brecha, cada criança poderia ser simplesmente combinados ao seu pai, revelando seus endereços junto com resmas de outras informações pessoais.
Alterar A T&C
Como estamos tão frequentemente confrontados com acordos de longa usuário, declarações de privacidade, alterações aos termos e condições de sites, jogos, serviços e mais, nós todos se tornam um pouco blasé para a linguagem utilizada. Eu absolutamente não pode contar a quantidade de T&C I clicou através, e me pergunto se em algum momento eu assinei minha alma acabou.
Você pensaria que o resposta padrão para uma grande violação de dados é uma investigação robusta em todas e quaisquer deficiências de segurança, talvez acolher o trabalho já realizado por profissionais de segurança da informação que estão tentando proteger os dados sensíveis relativos às crianças.Por que as empresas Mantendo Violações um segredo poderia ser uma boa coisaPor que as empresas Mantendo Violações um segredo poderia ser uma boa coisaCom tanta informação on-line, todos nós se preocupar com possíveis violações de segurança. Mas essas violações poderia ser mantido em segredo nos EUA, a fim de protegê-lo. Parece loucura, então o que está acontecendo?consulte Mais informação
Não para VTech.
Em vez disso, eles atualizaram seus termos e condições com a terminologia distintamente desagradável. Em uma seção intitulada Limitação de responsabilidade, termos ler:
“Você reconhece e concorda que qualquer informação que você enviar ou receber durante o seu uso do site pode não ser seguro e pode ser interceptada ou mais tarde adquirido por terceiros não autorizados”
Eu sinto Muito. O que? O usuário concorda em não estar com raiva ou segurar a empresa responsável se eles hackeado outra vez? Em 2016, como qualquer empresa promover qualquer forma de dispositivo de rede de forma responsável pode transferir a carga de responsabilidade para os seus usuários em um cenário em que eles estão buscando informações sensíveis é além de mim.
Absolvido?
De jeito nenhum. Mesmo antes de seus termos e condições travessuras baseada, Gabinete do Reino Unido Comissário de Informação foi investigando a violação de dados, juntamente com várias jurisdições dos Estados Unidos. Da mesma forma, no rescaldo da violação, Comissário Hong Kong Privacidade Stephen Wong confirmou seu escritório tinha iniciado uma “verificação de conformidade” na VTech para avaliar se a empresa aderiu aos princípios básicos de segurança.Manter atualizado com as últimas vazamentos de dados - Siga estes 5 Serviços & FeedsManter atualizado com as últimas vazamentos de dados - Siga estes 5 Serviços & Feedsconsulte Mais informação
Como eu estava escrevendo este artigo, o Reino Unido Informação Comissários Escritório confirmou que os novos termos e condições que possam violar a lei atual Reino Unido, afirmando:
“A lei é clara que é organizações que lidam com dados pessoais das pessoas que são responsáveis por manter os dados seguros”
Video: Assista à verdadeira história de Zeus, da Mitologia Grega
O que você deveria fazer?
Honestamente, até VTech ter sido provada a ter revisto substancialmente a sua operação de segurança, não use os seus produtos, incluindo o seu website.
No futuro, antes de comprar brinquedos de todas as crianças em rede, seria prudente para executar uma “[nome do produto / nome da empresa] + segurança” busca rápida, ou você poderia tentar “[nome do produto / nome da empresa] + cortar / violação de dados.” qualquer dessas combinações rapidamente ilustrar a segurança do bem-estar do produto que você está prestes a entregar ao seu filho.
brechas de segurança vão acontecer. Vivemos em um mundo maciçamente digitalizado, compartilhamento de informações sensíveis através de um grande número de sites. No entanto, não temos a lançar-nos na linha de fogo, e igualmente, nós temos o direito de esperar um mínimo de respeito à privacidade dos nossos dados pessoais - e muito menos a de nossos filhos.3 Riscos aos seus dados pessoais quando ficar em um Hotel3 Riscos aos seus dados pessoais quando ficar em um HotelPermanecer em um hotel pode ser perigoso para a segurança dos dados. Se você não quer que sua próxima viagem a se transformar em um pesadelo de roubo de identidade, aqui estão algumas coisas para manter em mente.consulte Mais informação
Afectados pela violação VTech? Ou você pode simpatizar com um brinquedo-maker no mundo do trabalho em rede e segurança da informação? Deixe-nos saber abaixo!