VTech: Игра на свобода с данните на вашите деца

реклама

Беше бурно време за доставчиците на електронни учебни продукти за деца, VTech. Базираната в Хонг Конг компания обяви планове за придобиване на конкурент на директен пазар прескочат за 72 милиона долара, драстично разширява пазарния си дял и се позиционира като един от най-големите разработчици и доставчици на електронни продукти за обучение на деца. За съжаление седмицата не продължи по план

VTech актуализира условията си след голям хак през 2015 г., безсмислено прехвърляйки отговорността върху родителите и лицата, полагащи грижи, без да се замисля.

Какво са се променили? Какво са осигурили? Какво трябва да правиш?

Какво се случи с VTech?

VTech бяха хакнати миналия ноември VTech получава хакнати, Apple мрази жаковете за слушалки... [Tech News Digest]Хакерите излагат потребители на VTech, Apple обмисля да премахне жака за слушалки, коледните светлини могат да забавят вашия Wi-Fi, Snapchat се вкарва в леглото с (ЧЕРВЕНО) и си спомня The Star Wars Holiday Special. Прочетете още , злоупотребяващият, като се откаже от данните от над 4 милиона сметки за възрастни и над 6 милиона детски акаунта. Хакът

изложи личните данни Пет начина да осигурите личните си данни остават сигурниВашите данни сте вие. Независимо дали става въпрос за колекция от снимки, които сте направили, изображения, които сте разработвали, отчети, които сте написали, истории, които сте измислили, или музика, която сте събрали или композирали, тя разказва история. Пази го. Прочетете още на всеки компрометиран акаунт, включително имена, имейл адреси, пароли, секретни въпроси и отговори, IP адреси, пощенски адреси и история на изтегляне. Освен това, базата данни на магазина за приложения на VTech, Learning Lodge, също беше компрометирана.

Оттук бяха компрометирани данни, включващи чат дневници, лични аудио файлове и снимки, много от които принадлежат директно на децата, използващи устройствата.

уязвимостите

Първоначално хакът беше изложен от Лоренцо Бикчирай, пишещ за технологично фокусирано списание Vice Дънни платки публикация. След публикуването на първоначалната статия, Биччирай се свързва с индивида, който твърди, че е извършил хака, който предоставя чувствителни снимки на журналиста за проверка.

След това Bicchierai покани специалиста по информационна сигурност Троя Хънт да анализира предоставените данни, за да потвърди дали течът е легитимен, а не измама. При потвърждение, Хънт допълнително разчленен данните и публикуваните подробности за уязвимостите, засягащи VTech. Уязвимостите, както Хънт откри, бяха жестоки.

Недостатъците на референтните обекти означават, че потребителите могат лесно да получат достъп до акаунти на други хора, като преминават през URL адреси, цялата хост система е изключително чувствителна към всяка форма на инжектиране на SQL и има:

„Никъде няма SSL… Всички комуникации са над незашифровани връзки, включително когато се предават пароли, данни за родителите и чувствителна информация за децата.“

Той също така намери пароли, „шифровани“ с обикновен хеш MD5, без осоляване или дори видимост на усъвършенствано хеширане алгоритъм, което означава, че всеки с дори леко усъвършенствани компютърни умения вероятно ще ги пробие в кратък интервал от време.

Освен това тайните въпроси и отговори се съхраняват в обикновен текст, без никакви допълнителни мерки за сигурност. Хънт отбеляза и лошото качество на въпросите за сигурност, като например „Кой е любимият ви цвят?“ или "Къде сте родени?" и друга също толкова проста информация за откриване.

Деца потребители

След като родител е създал акаунта си за пълнолетни, могат да се създават детски акаунти. Всеки детски акаунт е пряко свързан с акаунта за възрастни и те могат да добавят свой собствен аватар, дата на раждане и пол.

След това данните се съхраняват в самореферираща се таблица с помощта на „parent_id“ за свързване на двата акаунта заедно, така:

Това означава, че с допълнителните данни, обезпечени при нарушението, всяко дете може да бъде просто приравнено към родителя си, като разкрива адресите си заедно с редица друга лична информация.

Промяна на T&C

Тъй като толкова често се сблъскваме с продължителни потребителски споразумения, декларации за поверителност, промени в условията и условията на уебсайтове, игри, услуги и още много, всички ние сме се превърнали в малко удоволствие от езика използва. Не мога абсолютно да не преценя количеството T&C, на което съм кликнал, и се чудя дали в някакъв момент съм подписал душата си.

Бихте си помислили стандартен отговор при голямо нарушение на данните Защо компаниите, които спазват тайни нарушения, може да са добра работаС толкова много информация онлайн, всички се притесняваме за потенциални нарушения на сигурността. Но тези нарушения могат да се пазят в тайна в САЩ, за да ви защитят. Звучи лудо, така че какво става? Прочетете още е стабилно разследване на всички и всички пропуски в сигурността, може би приветства работата вече попълнен от специалисти по информационна сигурност, които се опитват да защитят чувствителни данни, свързани с деца.

Не е за VTech.

Вместо това те актуализираха общите си условия с ясно опасна терминология. В раздел със заглавие Ограничаване на отговорността, условия, прочетени:

„Вие потвърждавате и приемате, че всяка информация, която изпращате или получавате по време на използването на сайта, може да не е защитена и може да бъде прихваната или по-късно придобита от неоторизирани страни“

Съжалявам. Какво? Потребителят се съгласява да не се сърди или да държи компанията отговорна, ако се хакне отново? През 2016 г. как всяка компания, промотираща отговорно всяка форма на мрежово устройство, може да прехвърли тежестта на отговорност към своите потребители в сценарий, в който активно търсят чувствителна информация отвъд мен.

Освобождават?

Няма начин. Дори преди техните условия и базирани на shenanigans, the Службата на комисаря по информация на Великобритания беше разследване на нарушаването на данните Бъдете в крак с най-новите течове на данни - следвайте тези 5 услуги и емисии Прочетете още , заедно с множество държавни юрисдикции на САЩ. По подобен начин, в момента след нарушението, хонконгският комисар за защита на личните данни Стивън Вонг потвърди своето офис започна „проверка за съответствие“ на VTech, за да прецени дали компанията се е придържала към основната сигурност принципи.

Докато писах тази статия, Службата на комисарите за информация на Обединеното кралство потвърди, че новите условия ще противоречат на действащото законодателство на Обединеното кралство, се посочва,:

„Законът е ясен, че организациите, обработващи личните данни на хората, са отговорни за запазването на тези данни“

Какво трябва да направиш?

Честно казано, докато не бъде доказано, че VTech съществено е преработил своята операция по сигурността, не използват техните продукти, включително техния уебсайт.

В бъдеще, преди да купите детска играчка в мрежа, би било разумно да започнете бързо „[име на продукт / име на компанията] + сигурност“ или можете да опитате „[Име на продукт / име на компанията] + хак / нарушаване на данни.“ Всяка от тези комбинации бързо ще илюстрира благополучието на сигурността на продукта, който ще ви предоставят детето ти.

Ще се случат нарушения на сигурността 3 рискове за личните ви данни при отсядане в хотелОтсядането в хотел може да се окаже опасно за сигурността на вашите данни. Ако не искате следващото ви пътуване да се превърне в кошмар за кражба на самоличност, ето някои неща, които трябва да имате предвид. Прочетете още . Ние живеем в масово дигитализиран свят, споделяне на чувствителна информация Пет начина да осигурите личните си данни остават сигурниВашите данни сте вие. Независимо дали става въпрос за колекция от снимки, които сте направили, изображения, които сте разработвали, отчети, които сте написали, истории, които сте измислили, или музика, която сте събрали или композирали, тя разказва история. Пази го. Прочетете още в огромен брой сайтове. Не е нужно обаче хвърляме се в огневата линия Онлайн банкирането безопасно ли е? Най-вече, но ето 5 рискове, за които трябва да знаетеМного може да се хареса на онлайн банкирането. Удобно е, може да опрости живота ви, дори може да получите по-добри нива на спестявания. Но онлайн банкирането е толкова безопасно и сигурно, колкото трябва да бъде? Прочетете още и също така имаме право да очакваме проява на уважение 3 онлайн съвета за предотвратяване на измами, които трябва да знаете през 2014 г. Прочетете още за поверителността на нашите лични данни - камо ли за тази на нашите деца.

Засегнати от нарушението на VTech? Или можете да съчувствате на производителя на играчки в света на мрежите и сигурността на информацията? Уведомете ни по-долу!

Кредити за изображения:Човекът хакер от tanberin чрез Shutterstock