Содержание
Это было неспокойное время для поставщиков электронных учебных продуктов для детей, VTech. Гонконгская компания объявила о планах по приобретению конкурента на прямом рынке LeapFrog за 72 миллиона долларов, резко увеличив свою долю на рынке и позиционируя себя в качестве одного из ведущих разработчиков и поставщиков детских электронных обучающих продуктов. К сожалению, неделя прошла не так, как планировалось.
VTech обновил свои условия и положения после большого взлома в 2015 году, откровенно перекладывая ответственность на родителей и опекунов, не задумываясь.
Что они изменили? Что они обеспечили? Что ты должен делать?
Что случилось с VTech?
VTech были взломаны в ноябре прошлого года
злоумышленник убежал с данными более 4 миллионов учетных записей для взрослых и более 6 миллионов учетных записей для детей. Взлом разоблачил личные данные
каждой взломанной учетной записи, включая имена, адреса электронной почты, пароли, секретные вопросы и ответы, IP-адреса, почтовые адреса и историю загрузок. Кроме того, база данных магазина приложений VTech, Learning Lodge, также была взломана.
Отсюда были скомпрометированы данные, включая журналы чата, личные аудиофайлы и фотографии, многие из которых принадлежали непосредственно детям, использующим устройства.
Уязвимости
Взлом был первоначально разоблачен Лоренцо Биккераи, писавшим для журнала «Вайс», посвященного технологиям. После того, как первоначальная статья была опубликована, с Биккераем связался человек, утверждающий, что совершил взлом, который предоставил журналисту важные фотографии для проверки.
Bicchierai затем пригласил специалиста по информационной безопасности Троя Ханта проанализировать предоставленные данные, чтобы подтвердить, была ли утечка законной, а не обманом. После подтверждения Хант дополнительно проанализировал данные и опубликовал подробную информацию об уязвимостях, влияющих на VTech. Уязвимости, как обнаружил Хант, были ужасными.
Недостатки ссылок на объекты означали, что пользователи могли легко получать доступ к учетным записям других, переходя по URL-адресам, вся хост-система была чрезвычайно чувствительна к любой форме внедрения SQL-кода, и было:
«Никакой SSL нигде… Все коммуникации осуществляются через незашифрованные соединения, в том числе когда передаются пароли, данные родителей и конфиденциальная информация о детях».
Он также обнаружил, что пароли «зашифрованы» с помощью простого хеш-кода MD5, без засоления или даже с точки зрения усовершенствованного алгоритма хеширования, а это означает, что любой, у кого есть хоть немного продвинутые навыки работы с компьютером, вероятно, взломает их за короткое время.
Кроме того, секретные вопросы и ответы хранились в виде простого текста, без каких-либо дополнительных мер безопасности. Хант также отметил низкое качество вопросов безопасности, таких как «Какой ваш любимый цвет?» Или «Где вы родились?» И другой столь же простой для обнаружения информации.
Дочерние пользователи
После того, как родитель создал учетную запись для взрослых, могут быть созданы дочерние учетные записи. Каждая учетная запись ребенка напрямую связана с учетной записью для взрослых, и они могут добавить свой собственный аватар, дату рождения и пол.
Затем данные сохраняются в таблице с самореференциями, используя «parent_id», чтобы связать обе учетные записи вместе, например так:
Это означает, что с дополнительными данными, полученными в результате взлома, каждый ребенок может быть просто сопоставлен со своим родителем, раскрывая свои адреса вместе со стопками другой личной информации.
Изменить ТС
Поскольку мы так часто сталкиваемся с длительными пользовательскими соглашениями, заявлениями о конфиденциальности, изменениями условий использования веб-сайтов, игр, услуг и т. Д., Мы все стали немного бледнее используемого языка. Я абсолютно не могу сосчитать количество ТК, которое я нажал, и удивляюсь, если в какой-то момент я подписал свою душу.
Можно подумать, что стандартный ответ на серьезное нарушение данных
Это тщательное расследование всех и всех недостатков безопасности, возможно, приветствие работы, уже выполненной специалистами по информационной безопасности, которые пытаются защитить конфиденциальные данные, касающиеся детей.
Не для VTech.
Вместо этого они обновили свои условия с явно сомнительной терминологией. В разделе «Ограничение ответственности» термины гласят:
«Вы признаете и соглашаетесь с тем, что любая информация, которую вы отправляете или получаете во время использования сайта, может быть небезопасной и может быть перехвачена или впоследствии получена неуполномоченными сторонами»
Мне жаль. Какие? Пользователь соглашается не сердиться или нести ответственность за компанию, если его снова взломают? В 2016 году, как любая компания, ответственная за продвижение любой формы сетевого устройства, может переложить бремя ответственности на своих пользователей в сценарии, где они активно ищут конфиденциальную информацию, мне не по себе.
Освобождаются?
Ни за что. Еще до того, как их махинации основывались на положениях и условиях, Бюро комиссара по информации Великобритании расследовало нарушение данных
наряду с несколькими юрисдикциями штатов США. Аналогичным образом, сразу после нарушения, комиссар по вопросам конфиденциальности Гонконга Стивен Вонг подтвердил, что его офис инициировал «проверку соответствия» VTech, чтобы оценить, придерживалась ли компания основных принципов безопасности.
Когда я писал эту статью, Бюро по вопросам информации Великобритании подтвердило, что новые условия будут противоречить действующему законодательству Великобритании, заявив:
«По закону ясно, что организации, работающие с личными данными людей, несут ответственность за их безопасность».
Что вы должны сделать?
Честно говоря, до тех пор, пока не было доказано, что VTech существенно пересмотрел свою операцию по обеспечению безопасности, не используйте их продукты, включая их веб-сайт.
В будущем, перед покупкой любой сетевой детской игрушки, было бы целесообразно выполнить быстрый поиск «[название продукта / название компании] + безопасность», или вы можете попробовать «[название продукта / название компании] + взломать / взломать данные». Любая из этих комбинаций быстро проиллюстрирует безопасность продукта, который вы собираетесь передать своему ребенку.
Нарушения безопасности произойдут
, Мы живем в оцифрованном мире, делясь секретной информацией
через огромное количество сайтов. Тем не менее, нам не нужно бросаться на линию огня
и в равной степени мы вправе ожидать хоть немного уважения
к конфиденциальности наших личных данных — не говоря уже о наших детей.
Пострадали от нарушения VTech? Или вы можете посочувствовать создателю игрушек в мире сетей и информационной безопасности? Дайте нам знать ниже!
Авторы изображения: Hacker Man от tanberin через Shutterstock
