VTech: Παίζοντας χαλαρά με τα δεδομένα των παιδιών σας

Διαφήμιση

Ήταν ένας ταραχώδης χρόνος για τους προμηθευτές ηλεκτρονικών προϊόντων μάθησης των παιδιών, VTech. Η εταιρεία με έδρα το Χονγκ Κονγκ ανακοίνωσε σχέδια εξαγοράς για ανταγωνιστές άμεσης αγοράς Καβάλλες για 72 εκατομμύρια δολάρια, επεκτείνοντας δραστικά το μερίδιο αγοράς τους και τοποθετώντας τους τον εαυτό τους ως έναν από τους κύριους κατασκευαστές και προμηθευτές προϊόντων ηλεκτρονικής μάθησης για παιδιά. Δυστυχώς, η εβδομάδα δεν συνέχισε όπως είχε προγραμματιστεί.

Η VTech ενημέρωσε τους όρους και τις προϋποθέσεις της μετά από μια μεγάλη χαρά το 2015, μεταφέροντας κατά λάθος το βάρος ευθύνης στους γονείς και τους φροντιστές χωρίς δεύτερη σκέψη.

Τι έχουν αλλάξει; Τι έχουν εξασφαλίσει; Τι πρέπει να κάνετε;

Τι συνέβη με την VTech;

Οι VTech χάθηκαν τον περασμένο Νοέμβριο VTech παίρνει Hacked, Apple μισεί ακουστικά ακουστικών... [Tech News Digest]Οι χάκερ εκθέτουν τους χρήστες της VTech, η Apple σκέφτεται να αφαιρέσει την υποδοχή ακουστικών, τα φώτα των Χριστουγέννων μπορεί να επιβραδύνουν το Wi-Fi, το Snapchat παίρνει στο κρεβάτι (RED) και θυμάται το The Star Wars Holiday Special.

Διαβάστε περισσότερα , ο επιτιθέμενος απομακρύνοντας τα δεδομένα από πάνω από 4 εκατομμύρια λογαριασμούς ενηλίκων και πάνω από 6 εκατομμύρια λογαριασμούς παιδιών. Η χαρά έκθεση των προσωπικών δεδομένων Πέντε τρόποι να διασφαλίσετε ότι τα προσωπικά σας δεδομένα παραμένουν ασφαλήΤα δεδομένα σας είναι εσείς. Είτε πρόκειται για μια συλλογή φωτογραφιών που τραβήξατε, εικόνες που αναπτύξατε, αναφορές που γράψατε, ιστορίες που σκεφτήκατε ή μουσική που συλλέξατε ή συνθέσατε, λέει μια ιστορία. Προστατέψτε το. Διαβάστε περισσότερα από κάθε συμβιβασμένο λογαριασμό, συμπεριλαμβανομένων ονομάτων, διευθύνσεων ηλεκτρονικού ταχυδρομείου, κωδικών πρόσβασης, μυστικών ερωτήσεων και απαντήσεων, διευθύνσεων IP, διευθύνσεων αλληλογραφίας και ιστοριών λήψης. Εκτός από αυτό, η βάση δεδομένων καταστημάτων εφαρμογών της VTech, Learning Lodge, επίσης διακυβεύεται.

Από εδώ, τα δεδομένα, συμπεριλαμβανομένων των ημερολογίων συνομιλίας, των προσωπικών αρχείων ήχου και των φωτογραφιών, διακυβεύονται, πολλά από τα οποία ανήκουν άμεσα στα παιδιά που χρησιμοποιούν τις συσκευές.

Θέματα ευπάθειας

Το hack εκτέθηκε αρχικά από τον Lorenzo Bicchierai, γράφοντας για την τεχνολογία επικεντρωμένη στο περιοδικό Vice Μητρική πλακέτα δημοσίευση. Μετά την δημοσίευση του αρχικού άρθρου, ο Bicchierai ήρθε σε επαφή με το άτομο που ισχυριζόταν ότι είχε εκτελέσει το hack, ο οποίος παρέσχε ευαίσθητες φωτογραφίες στον δημοσιογράφο για επαλήθευση.

Στη συνέχεια, ο Bicchierai κάλεσε τον Troy Hunt, αρμόδιο για την ασφάλεια πληροφοριών, να αναλύσει τα παρεχόμενα δεδομένα για να επιβεβαιώσει εάν η διαρροή ήταν νόμιμη, παρά μια φάρσα. Κατά την επιβεβαίωση, Το κυνήγι αποκόπτεται περαιτέρω τα δεδομένα και τις δημοσιευμένες λεπτομέρειες των τρωτών σημείων που επηρεάζουν την VTech. Οι ευπάθειες, όπως ανακάλυψε ο Χαντ, ήταν ατρόμητοι.

Τα ελαττώματα αναφοράς αντικειμένων σήμαιναν ότι οι χρήστες θα μπορούσαν να έχουν εύκολη πρόσβαση στους λογαριασμούς των άλλων, προωθώντας τις διευθύνσεις URL, ολόκληρο το σύστημα κεντρικού υπολογιστή ήταν εξαιρετικά ευαίσθητο σε οποιαδήποτε μορφή ένεσης SQL και υπήρχε:

"Δεν υπάρχει SSL οπουδήποτε... Όλες οι επικοινωνίες είναι πάνω από μη κρυπτογραφημένες συνδέσεις, συμπεριλαμβανομένων όταν μεταδίδονται οι κωδικοί πρόσβασης, τα στοιχεία γονέων και οι ευαίσθητες πληροφορίες σχετικά με τα παιδιά".

Βρήκε επίσης κωδικούς πρόσβασης "κρυπτογραφημένους" με έναν απλό κατακερματισμό MD5, χωρίς αλάτι, ή ακόμη και θέαμα ενός προηγμένου κατακερματισμού αλγόριθμος, που σημαίνει ότι οποιοσδήποτε με ακόμη και ελαφρώς προηγμένες δεξιότητες πληροφορικής θα μπορούσε πιθανώς να τις σπάσει σε ένα μικρό διάστημα χρόνος.

Επιπλέον, μυστικές ερωτήσεις και απαντήσεις αποθηκεύτηκαν σε απλό κείμενο χωρίς πρόσθετα μέτρα ασφαλείας. Hunt σημείωσε επίσης την κακή ποιότητα των ερωτήσεων ασφαλείας, όπως "Ποιο είναι το αγαπημένο σας χρώμα;" ή "Πού γεννήθηκες;" και άλλες εξίσου απλές πληροφορίες.

Χρήστες παιδιών

Μόλις ο γονιός έχει δημιουργήσει το λογαριασμό ενηλίκων, μπορούν να δημιουργηθούν θυγατρικοί λογαριασμοί. Κάθε παιδί λογαριασμός συνδέεται άμεσα με το λογαριασμό ενηλίκων, και μπορούν να προσθέσουν το δικό τους avatar, ημερομηνία γέννησης, και το φύλο.

Τα δεδομένα στη συνέχεια αποθηκεύονται σε έναν πίνακα αυτοαναφοράς χρησιμοποιώντας ένα "parent_id" για τη σύνδεση των δύο λογαριασμών μαζί, όπως έτσι:

Σημαίνει ότι με τα πρόσθετα δεδομένα που έχουν εξασφαλιστεί στην παραβίαση, κάθε παιδί θα μπορούσε απλώς να ταιριάξει με τον γονέα του, αποκαλύπτοντας τις διευθύνσεις τους μαζί με δεσμίδες άλλων προσωπικών πληροφοριών.

Αλλάξτε το T & C

Καθώς αντιμετωπίζουμε τόσο συχνά μακρές συμφωνίες χρηστών, δηλώσεις προστασίας προσωπικών δεδομένων, αλλαγές στους όρους και τους όρους των δικτυακών τόπων, των παιχνιδιών, των υπηρεσιών και άλλα, όλοι έχουμε γίνει λίγο blasé στη γλώσσα μεταχειρισμένος. Δεν μπορώ να υπολογίζω απολύτως το ποσό των T & C που έχω κάνει κλικ και αναρωτιέμαι αν σε κάποιο σημείο υπέγραψα την ψυχή μου.

Θα σκεφτόσαστε το τυποποιημένη απάντηση σε μια σημαντική παραβίαση δεδομένων Γιατί οι εταιρείες που παραβιάζουν ένα μυστικό θα μπορούσαν να είναι ένα καλό πράγμαΜε τόσο πολλές πληροφορίες στο διαδίκτυο, όλοι ανησυχούμε για ενδεχόμενες παραβιάσεις της ασφάλειας. Αλλά αυτές οι παραβιάσεις θα μπορούσαν να κρατηθούν μυστικές στις ΗΠΑ για να σας προστατεύσουν. Ακούγεται τρελό, έτσι τι συμβαίνει; Διαβάστε περισσότερα είναι μια ισχυρή έρευνα για όλες τις ελλείψεις ασφάλειας, ίσως χαιρετίζοντας το έργο ήδη ολοκληρωθεί από τους επαγγελματίες της ασφάλειας πληροφοριών που προσπαθούν να διαφυλάξουν τα ευαίσθητα δεδομένα που σχετίζονται με παιδιά.

Όχι για την VTech.

Αντ 'αυτού, επικαιροποίησαν τους όρους και τις προϋποθέσεις τους με μια σαφώς ενοχλητική ορολογία. Σε μια ενότητα με τίτλο Τον περιορισμό της ευθύνης, οι όροι διαβάστηκαν:

"Αποδέχεστε και συμφωνείτε ότι οι πληροφορίες που στέλνετε ή λαμβάνετε κατά τη χρήση του δικτυακού τόπου ενδέχεται να μην είναι ασφαλείς και ενδέχεται να παρεμποδιστούν ή να αποκτηθούν αργότερα από μη εξουσιοδοτημένα μέρη"

Συγγνώμη. Τι? Ο χρήστης συμφωνεί να μην είναι θυμωμένος ή να κρατά την υπεύθυνη εταιρεία αν γίνει ξαφνική χάκερ; Το 2016, πώς κάθε εταιρεία που προωθεί υπεύθυνα οποιαδήποτε μορφή δικτυωμένης συσκευής μπορεί να μεταφέρει το βάρος της ευθύνη στους χρήστες τους σε ένα σενάριο όπου αναζητούν ενεργά ευαίσθητες πληροφορίες είναι με ξεπερνα.

Απολύθηκε;

Με τιποτα. Ακόμη και πριν από τους όρους και τις προϋποθέσεις που βασίζονται σφαιρομανίες, το Γραφείο του Επιτρόπου Πληροφοριών του Ηνωμένου Βασιλείου ήταν διερεύνηση της παραβίασης των δεδομένων Συνεχίστε με τις τελευταίες διαρροές δεδομένων - Ακολουθήστε αυτές τις 5 υπηρεσίες & Feeds Διαβάστε περισσότερα , μαζί με πολλαπλές δικαιοδοσίες των ΗΠΑ. Ομοίως, αμέσως μετά την παραβίαση, ο Επίτροπος του Χονγκ Κονγκ, Στέφεν Γουόγκ, επιβεβαίωσε τη δική του το γραφείο είχε ξεκινήσει "έλεγχο συμμόρφωσης" στη VTech για να αξιολογήσει εάν η εταιρεία είχε τηρήσει τη βασική ασφάλεια αρχές.

Καθώς γράφω αυτό το άρθρο, το Γραφείο Επιτρόπων Πληροφοριών του Ηνωμένου Βασιλείου επιβεβαίωσε ότι οι νέοι όροι και προϋποθέσεις θα έρχονταν σε αντίθεση με την ισχύουσα νομοθεσία του Ηνωμένου Βασιλείου, δηλώνοντας:

"Ο νόμος είναι ξεκάθαρος ότι πρόκειται για οργανισμούς που χειρίζονται τα προσωπικά δεδομένα των ανθρώπων που είναι υπεύθυνοι για τη διαφύλαξη αυτών των δεδομένων"

Τι πρέπει να κάνεις?

Ειλικρινά, έως ότου έχει αποδειχθεί ότι η VTech έχει επανεξετάσει ουσιαστικά τη λειτουργία ασφαλείας, μην χρησιμοποιείτε τα προϊόντα τους, συμπεριλαμβανομένης της ιστοσελίδας τους.

Στο μέλλον, προτού αγοράσετε τυχόν παιγνίδια για παιδιά σε δίκτυο, θα ήταν συνετό να εκτελέσετε μια γρήγορη αναζήτηση "[όνομα προϊόντος / εταιρική επωνυμία] + ασφάλεια" ή θα μπορούσατε να δοκιμάσετε "[Όνομα προϊόντος / όνομα εταιρείας] + παραβίαση δεδομένων / hack / δεδομένων." Οποιοσδήποτε από αυτούς τους συνδυασμούς θα απεικονίσει γρήγορα την ευημερία ασφαλείας του προϊόντος που πρόκειται να δώσετε το παιδί σου.

Οι παραβιάσεις ασφαλείας πρόκειται να συμβούν 3 Κίνδυνοι για τα προσωπικά σας δεδομένα κατά τη διαμονή σας σε ένα ξενοδοχείοΗ διαμονή σας σε ένα ξενοδοχείο μπορεί να αποδειχθεί επικίνδυνη για την ασφάλεια των δεδομένων σας. Αν δεν θέλετε το επόμενο ταξίδι σας να μετατραπεί σε έναν εφιάλτη κλοπής ταυτότητας, πρέπει να λάβετε υπόψη σας ορισμένα πράγματα. Διαβάστε περισσότερα . Ζούμε σε έναν μαζικά ψηφιοποιημένο κόσμο, κοινή χρήση ευαίσθητων πληροφοριών Πέντε τρόποι να διασφαλίσετε ότι τα προσωπικά σας δεδομένα παραμένουν ασφαλήΤα δεδομένα σας είναι εσείς. Είτε πρόκειται για μια συλλογή φωτογραφιών που τραβήξατε, εικόνες που αναπτύξατε, αναφορές που γράψατε, ιστορίες που σκεφτήκατε ή μουσική που συλλέξατε ή συνθέσατε, λέει μια ιστορία. Προστατέψτε το. Διαβάστε περισσότερα σε έναν τεράστιο αριθμό τοποθεσιών. Ωστόσο, δεν είναι απαραίτητο ρίξτε τους εαυτούς μας στη γραμμή πυροδότησης Είναι Online Banking Ασφαλής; Κυρίως, αλλά εδώ είναι 5 κίνδυνοι που πρέπει να ξέρετε γιαΥπάρχουν πολλά που σας αρέσουν στην ηλεκτρονική τραπεζική. Είναι βολικό, μπορεί να απλοποιήσει τη ζωή σας, ίσως έχετε ακόμη καλύτερα ποσοστά αποταμίευσης. Αλλά η online τραπεζική είναι τόσο ασφαλής όσο και ασφαλής; Διαβάστε περισσότερα , και εξίσου, έχουμε το δικαίωμα να περιμένουμε ένα μικρό σεβασμό 3 Συμβουλές Πρόληψης απάτης στο Διαδίκτυο που πρέπει να ξέρετε το 2014 Διαβάστε περισσότερα στην ιδιωτική ζωή των προσωπικών δεδομένων μας - πόσο μάλλον στα παιδιά μας.

Επηρεασμένος από την παραβίαση του VTech; Ή μπορείτε να συμπράξεις με έναν κατασκευαστή παιχνιδιών στον κόσμο δικτύωσης και ασφάλειας πληροφοριών; Ενημερώστε μας παρακάτω!

Συντελεστές εικόνας:Hacker Man από το tanberin μέσω του Shutterstock