Oglas

Bil je nemiren čas za otroške ponudnike elektronskih učnih izdelkov, VTech. Podjetje s sedežem v Hong Kongu je objavilo načrte za pridobitev konkurenta na neposrednem trgu LeapFrog za 72 milijonov dolarjev, drastično povečujejo svoj tržni delež in se uvrščajo med vodilne razvijalce in dobavitelje otroških elektronskih učnih izdelkov. Žal se teden ni nadaljeval po načrtih.

VTech je posodobil svoje pogoje po velikem kraku leta 2015, ki je odgovornost preusmeril na starše in skrbnike, brez pomisleka.

Kaj so spremenili? Kaj so zavarovali? Kaj bi morali početi?

Kaj se je zgodilo z VTech?

VTech so bili vdrli novembra lani VTech postavi vdrte, Apple sovraži priključke za slušalke... [Tech News Digest]Hekerji izpostavljajo uporabnike VTech, Apple razmišlja o odstranitvi vtičnice za slušalke, božične lučke lahko upočasnijo vaš Wi-Fi, Snapchat se spusti v posteljo z (RDEČIM) in se spomni The Star Wars Holiday Special. Preberi več , napadalec s podatki prek več kot 4 milijonov odraslih računov in več kot 6 milijonov otroških računov. Kramp

izpostavil osebne podatke Pet načinov za zagotovitev vaših osebnih podatkov ostaja varnoVaši podatki ste vi. Naj gre za zbirko fotografij, ki ste jo posneli, slike, ki ste jih razvili, poročila, ki ste jih napisali, zgodbe, ki ste jih domislili, ali glasbo, ki ste jo zbrali ali komponirali, pripoveduje zgodbo. Zaščitite ga. Preberi več vsakega ogroženega računa, vključno z imeni, e-poštnimi naslovi, gesli, skrivnimi vprašanji in odgovori, naslovi IP, poštnimi naslovi in ​​zgodovino prenosov. Poleg tega je bila ogrožena tudi baza podatkov trgovine VTech's App Learning Lodge.

VTech Otroška naprava za učenje Tote in Go

Od tu so bili ogroženi podatki, vključno z dnevniki za klepete, osebnimi zvočnimi datotekami in fotografijami, ki so številni neposredno pripadali otrokom, ki uporabljajo naprave.

Ranljivosti

Hack je sprva izpostavil Lorenzo Bicchierai, ki piše za tehnološko osredotočeno revijo Vice magazine Matična plošča objava. Po objavi začetnega članka je Bicchierai stopil v stik s posameznikom, ki je trdil, da je izvedel kramo, in je novinarju predložil občutljive fotografije v preverjanje.

Bicchierai je nato povabil strokovnjaka za informacijsko varnost Troy Hunt, da analizira predložene podatke, da potrdi, ali je puščanje zakonito, namesto prevara. Ob potrditvi Hunt je nadalje seciral podatke in objavljene podrobnosti o ranljivostih, ki vplivajo na VTech. Ranljivosti, kot je odkril Hunt, so bile groze.

Napake v referenčnih predmetih so pomenile, da so uporabniki lažje dostopali do računov drugih s korakom prek URL-jev, celotni gostiteljski sistem je bil izjemno občutljiv na kakršno koli obliko vbrizgavanja SQL, in bilo je:

"Nikjer ni SSL... Vsa komunikacija je prek nešifriranih povezav, tudi ko se pošiljajo gesla, podrobnosti staršev in občutljive informacije o otrocih."

Prav tako je našel gesla, "šifrirana" s preprostim hash-jem MD5, brez soljenja ali celo vida naprednega hešinga algoritem, kar pomeni, da bi jih kdo s celo nekoliko naprednimi računalniškimi znanji verjetno pokvaril v kratkem času čas.

Poleg tega so bila tajna vprašanja in odgovori shranjeni v navadnem besedilu, brez dodatnih varnostnih ukrepov. Hunt je opozoril tudi na slabo kakovost varnostnih vprašanj, na primer "Katera je tvoja najljubša barva?" ali "Kje ste se rodili?" in druge enako enostavne informacije za odkrivanje.

Otroški uporabniki

Ko je starš ustvaril svoj račun za odrasle, lahko ustvari tudi otroške račune. Vsak otroški račun je neposredno povezan z računom za odrasle in lahko dodajo svoj avatar, datum rojstva in spol.

Podrobnosti o otroškem računu VTech CSVPodatki se nato shranijo v tabelo s samo referenco z uporabo „parent_id“ za povezavo obeh računov, tako:

Podrobnosti o povezovanju računa za odrasle in otroke VTech

To pomeni, da bi se lahko z dodatnimi podatki, ki so bili zavarovani s kršitvijo, vsak otrok preprosto ujemal s svojim staršem in razkril svoje naslove ter podatke o drugih osebnih podatkih.

Spremenite T&C

Ker se tako pogosto srečujemo z dolgotrajnimi sporazumi o uporabnikih, izjavami o zasebnosti, spremembami pogojev in pogoje spletnih mest, iger, storitev in še več, vsi smo postali malce ujeti jezik rabljen. Ne morem prešteti količine T&C, na katero sem kliknil, in se sprašujem, ali sem se v nekem trenutku podpisal s svojo dušo.

Mislili bi si standardni odziv na večjo kršitev podatkov Zakaj podjetja, ki kršijo skrivne kršitve, bi lahko bila dobra stvarS toliko informacijami na spletu smo vsi zaskrbljeni zaradi morebitnih kršitev varnosti. Toda te kršitve bi lahko ohranile v tajnosti v ZDA, da bi vas zaščitili. Sliši se noro, kaj se dogaja? Preberi več je odločna preiskava kakršnih koli varnostnih pomanjkljivosti, kar delo morda že pozdravlja dopolnili strokovnjaki za informacijsko varnost, ki poskušajo zaščititi občutljive podatke v zvezi z otroci.

Ni za VTech.

Namesto tega so svoje pogoje posodobili z izrazito neprijetno terminologijo. V razdelku z naslovom Omejitev odgovornosti, prebrani pogoji:

"Priznavate in se strinjate, da kakršne koli informacije, ki jih pošljete ali prejmete med uporabo spletnega mesta, morda niso varne in jih lahko nepooblaščene stranke prestrežejo ali pozneje pridobijo."

Žal mi je. Kaj? Uporabnik se strinja, da ne bo jezen ali da ima podjetje odgovorno, če se spet zlomi? V letu 2016 lahko vsako podjetje, ki odgovorno promovira katero koli obliko omrežne naprave, prenese breme odgovornost do svojih uporabnikov v scenariju, kjer aktivno iščejo občutljive informacije onstran mene.

Odpravljeno?

Ni šans. Še pred shenanigani, ki temeljijo na njihovih pogojih, so Urad Združenega kraljestva za informacije je bil preiskovanje kršitve podatkov Spremljajte najnovejše puščanje podatkov - upoštevajte teh 5 storitev in virov Preberi več , skupaj z več ameriških državnih jurisdikcij. Podobno je takoj po kršitvi potrdil tudi hongkonški komisar za zasebnost Stephen Wong Office je na VTech sprožil "preverjanje skladnosti", da bi ocenil, ali se je podjetje držalo osnovne varnosti načela.

Medtem ko sem pisal ta članek, je Urad za informacijske komisije Združenega kraljestva potrdil, da bodo novi pogoji v nasprotju z veljavno zakonodajo Združenega kraljestva, navajajo:

"Zakon je jasen, da so za varstvo teh podatkov odgovorne organizacije, ki obdelujejo osebne podatke ljudi."

Kaj bi morali storiti?

Iskreno, dokler se ne izkaže, da je VTech bistveno popravil svoje varnostno delovanje, ne uporabljajo svojih izdelkov, vključno z njihovo spletno stranjo.

chrome_2016-02-12_01-15-13

V prihodnosti bi bilo dobro, preden kupite katero koli otroško igračo v omrežju, sprožiti hitro iskanje [[ime izdelka / ime podjetja] + varnost] ali poskusite „[Ime izdelka / imena podjetja] + kramp / kršitev podatkov.“ Katera koli od teh kombinacij bo hitro ponazorila varnost izdelka, ki mu boste nameravali tvoj otrok.

Kršitve varnosti se bodo zgodile 3 Tveganja za vaše osebne podatke pri bivanju v hoteluBivanje v hotelu se lahko izkaže za nevarno za vašo varnost podatkov. Če ne želite, da se vaše naslednje potovanje spremeni v nočno moro kraje identitete, je treba upoštevati nekaj stvari. Preberi več . Živimo v množično digitaliziranem svetu, izmenjava občutljivih informacij Pet načinov za zagotovitev vaših osebnih podatkov ostaja varnoVaši podatki ste vi. Naj gre za zbirko fotografij, ki ste jo posneli, slike, ki ste jih razvili, poročila, ki ste jih napisali, zgodbe, ki ste jih domislili, ali glasbo, ki ste jo zbrali ali komponirali, pripoveduje zgodbo. Zaščitite ga. Preberi več na ogromno število mest. Vendar nam tega ni treba vržemo se v strelno linijo Ali je spletno bančništvo varno? Večinoma, toda tukaj je 5 tveganj, o katerih bi morali vedetiPri spletnem bančništvu je veliko všeč. To je priročno, lahko vam poenostavi življenje, morda celo dosežete boljše prihranke. Toda, ali je spletno bančništvo tako varno in varno? Preberi več in enako imamo pravico pričakovati zmernost spoštovanja 3 nasveti za preprečevanje spletnih goljufij, ki jih morate vedeti v letu 2014 Preberi več do zasebnosti naših osebnih podatkov - kaj šele zasebnosti naših otrok.

Prizadet zaradi kršitve VTech? Ali lahko naklonite izdelovalcu igrač v svetu mreženja in informacijske varnosti? Sporočite nam spodaj!

Slikovni krediti:Človeški heker z tanberinom prek Shutterstocka

Gavin je višji pisatelj na MUO. Je tudi urednik in vodja SEO-ja za kripto usmerjeno sestrsko spletno mesto MakeUseOf, Blocks Decoded. Ima BA (Hons) Sodobno pisanje z digitalnimi umetniškimi praksami, razbitimi s hribov Devona, in več kot desetletje profesionalnih izkušenj s pisanjem. Uživa obilne količine čaja.