VTech se igra slobodno s podacima vaše djece

  • Michael Fisher
  • 0
  • 1625
  • 23
Oglas

Bilo je burno vrijeme dobavljača elektroničkih proizvoda za djecu, VTech. Tvrtka sa sjedištem u Hong Kongu objavila je planove akvizicije za konkurenta na izravnom tržištu preskakati preko glave za 72 milijuna dolara, drastično proširujući svoj tržišni udio i pozicionirajući se kao jedan od glavnih programera i dobavljača proizvoda za elektroničko učenje djece. Nažalost, tjedan se nije nastavio prema planu.

VTech je ažurirao svoje uvjete i odredbe nakon velikog haka u 2015. godini, nesmetano prebacujući odgovornost odgovornosti na roditelje i njegovatelje bez razmišljanja.

Što su se promijenili? Što su osigurali? Što bi trebao raditi??

Što se dogodilo s VTech-om?

VTech su hakirani prošlog studenog VTech dobiva hakirane, Apple mrzi slušalice ... [Tech News Digest] VTech dobiva hakirane, Apple mrzi priključke za slušalice ... [Tech News Digest] Hakeri razotkrivaju korisnike VTech-a, Apple razmatra uklanjanje priključka za slušalice, božićna svjetla mogu usporiti vaš Wi-Fi, Snapchat ulazi u krevet s (RED) i sjeća se posebnog odmora Star Wars Holiday. , napadač se obračunava s podacima s preko 4 milijuna računa za odrasle i preko 6 milijuna dječjih računa. Hak je otkrio osobne podatke Pet načina za osiguravanje vaših osobnih podataka Ostaje sigurno pet načina za osiguravanje vaših osobnih podataka i dalje ostaje siguran. Bilo da se radi o zbirci fotografija koje ste snimili, slika koje ste razvili, izvještaje koje ste napisali, priče koje ste smislili ili glazba koju ste sakupili ili sastavili, to govori priču. Zaštitite ga. svakog kompromitiranog računa, uključujući imena, adrese e-pošte, lozinke, tajna pitanja i odgovore, IP adrese, adrese e-pošte i povijesti preuzimanja. Uz sve to, ugrožena je i VTech-ova baza prodavaonica aplikacija, Learning Lodge.

Odavde su ugroženi podaci uključujući chat zapisnike, osobne audio datoteke i fotografije, a mnogi su pripadali izravno djeci koja koriste uređaje.

ranjivosti

Hak je u početku izložio Lorenzo Bicchierai, pišući za tehnologiju usredotočenu na časopisu Vice matična ploča publikacija. Nakon objavljivanja početnog članka, Bicchierai je kontaktirao pojedinca koji je tvrdio da je izvršio krađu, a koji je novinaru pružio osjetljive fotografije na provjeru.

Bicchierai je potom pozvao stručnjaka za informacijsku sigurnost Troy Hunt da analizira dostavljene podatke kako bi potvrdio je li curenje bilo legitimno, a ne lažno. Nakon potvrde, Hunt je dalje secirao podatke i objavio detalje o ranjivosti koje utječu na VTech. Ranjivosti su, kako je otkrio Hunt, bila ozbiljna.

Nedostaci referentnih objekata značili su da su korisnici mogli lako pristupiti računima drugih korakom kroz URL-ove. Cijeli host sustav bio je izuzetno osjetljiv na bilo koji oblik ubrizgavanja SQL-a, a postojalo je:

“Nigdje nema SSL-a ... Sve komunikacije su preko nekodiranih veza, uključujući kada se prenose lozinke, detalji roditelja i osjetljive informacije o djeci..”

Pronašao je i lozinke “kodiran” jednostavnim MD5 hash-om, bez salinga ili čak vidljivog naprednog algoritma raspršivanja, što znači da će svatko s čak i malo naprednijim računalnim vještinama vjerojatno puknuti za kratko vrijeme.

Povrh toga, tajna pitanja i odgovori bili su pohranjeni u običnom tekstu, bez dodatnih sigurnosnih mjera. Hunt je također primijetio lošu kvalitetu sigurnosnih pitanja, poput “Koja je tvoja najdraža boja?” ili “Gdje si rođen?” i ostale jednako jednostavne informacije za otkrivanje.

Korisnici djece

Nakon što roditelj stvori račun za odrasle, mogu se otvoriti i dječiji računi. Svaki je dječji račun izravno povezan s računom za odrasle i mogu dodati svoj avatar, datum rođenja i spol.

Podaci se zatim pohranjuju u tablicu sa vlastitim referencama koristeći a “parent_id” povezati oba računa zajedno, tako:

Što znači da se dodatnim podacima osiguranim zbog kršenja pravila svako dijete može jednostavno uskladiti s roditeljem, otkrivajući svoje adrese zajedno s remijem drugih osobnih podataka.

Promijenite T&C

Budući da se često suočavamo s dugim korisničkim ugovorima, izjavama o privatnosti, promjenama i odredbama i odredbama web stranica, igara, usluga i još mnogo toga, svi smo postali pomalo neprikladni prema korištenom jeziku. Apsolutno ne mogu prebrojati količinu T&C kroz koju sam prošao, i pitam se jesam li u nekom trenutku potpisao svoju dušu.

Mislili biste da bi standardni odgovor na veliko kršenje podataka Zašto tvrtke koje krše kršenja tajne mogao biti dobra stvar Zašto tvrtke koje krše kršenja tajna mogu biti dobra stvar S toliko informacija na mreži, svi se brinemo o potencijalnim narušavanjima sigurnosti. Ali ta se kršenja mogu zadržati u tajnosti u SAD-u kako bi vas zaštitila. Zvuči ludo, pa što se događa? je temeljita istraga bilo kojeg sigurnosnog nedostatka, možda pozdravlja posao koji su već dovršili stručnjaci za informacijsku sigurnost koji pokušavaju zaštititi osjetljive podatke koji se odnose na djecu.

Nije za VTech.

Umjesto toga, ažurirali su svoje uvjete i odredbe s izrazito neugodnom terminologijom. U odjeljku s naslovom Ograničenje odgovornosti, pročitani uvjeti:

“Prihvaćate i suglasni ste da bilo koje informacije koje pošaljete ili primite tijekom upotrebe web stranice možda nisu sigurne i neovlaštene strane mogu ih presretnuti ili kasnije pribaviti”

Žao mi je. Što? Korisnik se slaže da se ne ljuti ili će smatrati kompaniju odgovornom ako se opet hakira? U 2016. godini, kako bilo koja tvrtka koja promovira bilo koji oblik umreženih uređaja odgovorno može prebaciti teret odgovornosti na svoje korisnike u scenariju u kojem oni aktivno traže osjetljive informacije je izvan mene.

oslobođen?

Nema šanse. Čak i prije shenanigana utemeljenih na odredbama i uvjetima, Ured povjerenika za informacije u Velikoj Britaniji istraživao je kršenje podataka Pratite najnovija curenja podataka - Slijedite ovih 5 usluga i feedova, budite u toku s najnovijim podacima o protokolima - slijedite ovih 5 usluga i feedova, zajedno s više jurisdikcija američke države. Slično tome, neposredno nakon kršenja zakona, hongkonški povjerenik za zaštitu privatnosti, Stephen Wong, potvrdio je da je njegov ured pokrenuo “provjera usklađenosti” na VTech-u kako bi procijenio je li se tvrtka pridržavala osnovnih sigurnosnih načela.

Dok sam pisao ovaj članak, Ured povjerenika za informacije u Velikoj Britaniji potvrdio je da će novi uvjeti biti u suprotnosti s trenutnim zakonima u Velikoj Britaniji, navodeći:

“Zakonom je jasno da su za zaštitu tih podataka odgovorne organizacije koje bave osobnim podacima ljudi”

Što bi trebao učiniti?

Iskreno, sve dok se nije dokazalo da VTech bitno promijeni svoj sigurnosni rad, ne koriste njihove proizvode, uključujući njihovu web stranicu.

U budućnosti, prije kupnje bilo koje umrežene dječje igračke, bilo bi pametno pokrenuti brzo “[naziv proizvoda / naziv tvrtke] + sigurnost” pretražite ili biste mogli pokušati “[naziv proizvoda / naziv tvrtke] + hack / kršenje podataka.” Bilo koja od tih kombinacija brzo će ilustrirati sigurnost proizvoda koji ćete predati svom djetetu.

Pojavit će se kršenja sigurnosti 3 Rizici za vaše osobne podatke prilikom boravka u hotelu 3 Rizik na vaše osobne podatke Tijekom boravka u hotelu Boravak u hotelu može se pokazati opasnim za vašu sigurnost podataka. Ako ne želite da se vaše sljedeće putovanje pretvori u noćnu moru krađe identiteta, evo nekoliko stvari koje treba imati na umu. , Živimo u masovno digitaliziranom svijetu, dijelimo osjetljive podatke. Pet načina za osiguravanje vaših osobnih podataka ostaje sigurno, pet načina za osiguravanje vaših osobnih podataka ostaje zaštićeno. Bilo da se radi o zbirci fotografija koje ste snimili, slika koje ste razvili, izvještaje koje ste napisali, priče koje ste smislili ili glazba koju ste sakupili ili sastavili, to govori priču. Zaštitite ga. na velikom broju web lokacija. Međutim, ne moramo se bacati na pucanje Je li internetsko bankarstvo sigurno? Uglavnom, ali ovdje je 5 rizika o kojima biste trebali znati je li internetsko bankarstvo sigurno? Uglavnom, ali ovdje je 5 rizika o kojima biste trebali znati mnogo o mrežnom bankarstvu. To je zgodno, može vam pojednostaviti život, čak možete dobiti bolje stope štednje. No, je li internetsko bankarstvo jednako sigurno i sigurno? i jednako tako, imamo pravo očekivati ​​uvažavanje 3 Savjeti za suzbijanje prijevara u mreži koje trebate znati u 2014. godini 3 Savjeti za sprječavanje prijevara u mreži koje u 2014. trebate znati o privatnosti naših osobnih podataka - a kamoli onima naših djeca.

Pod utjecajem kršenja VTech-a? Ili možete suosjećati s proizvođačem igračaka u svijetu umrežavanja i informacijske sigurnosti? Javite nam u nastavku!

Image Credits: Hacker Man by tanberin via Shutterstock




Još ne komentari

O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.