reklama
Bylo to bouřlivé období pro dodavatele elektronických produktů pro vzdělávání dětí, VTech. Hongkongská společnost oznámila akviziční plány pro konkurenty na přímém trhu Skákání přes kozu za 72 milionů dolarů, drasticky rozšiřovat svůj podíl na trhu a umístit se jako jeden z nejvýznamnějších vývojářů a dodavatelů elektronických produktů pro vzdělávání dětí. Tento týden bohužel nepokračoval podle plánu.
VTech aktualizoval své podmínky v návaznosti na velký hack v roce 2015 a bez jakéhokoli přemýšlení bezohledně přenesl odpovědnost na rodiče a pečovatele.
Co se změnili? Co zajistili? Co byste měli dělat?
Co se stalo s VTech?
VTech byl loni v listopadu hacknut VTech dostane hacknut, Apple Hates jack pro sluchátka... [Tech News Digest]Hackeři vystavují uživatele VTech, Apple zvažuje odstranění konektoru pro sluchátka, vánoční světla mohou zpomalit vaše Wi-Fi, Snapchat se dostane do postele s (ČERVENÝ) a vzpomíná si na Star Wars Holiday Special. Přečtěte si více , útočník rozdal data z více než 4 milionů účtů pro dospělé a více než 6 milionů dětských účtů. Hack
odhalil osobní údaje Pět způsobů, jak zajistit, aby vaše osobní data zůstala bezpečnáVaše data jste vy. Ať už se jedná o sbírku fotografií, které jste pořídili, obrázky, které jste vytvořili, zprávy, které jste napsali, příběhy, které jste vymysleli, nebo hudbu, kterou jste shromáždili nebo složili, vypráví příběh. Chraňte to. Přečtěte si více každého kompromitovaného účtu včetně jmen, e-mailových adres, hesel, tajných otázek a odpovědí, IP adres, poštovních adres a historie stahování. Kromě toho byla také ohrožena databáze obchodů s aplikacemi VTech, Learning Lodge.
Odtud byla ohrožena data včetně protokolů chatu, osobních zvukových souborů a fotografií, z nichž mnoho patří přímo dětem pomocí zařízení.
Zranitelnosti
Hack byl zpočátku odhalen Lorenzo Bicchierai, psaní pro technologicky zaměřené vice časopisy Základní deska vydání. Po zveřejnění původního článku byl Bicchierai kontaktován jednotlivcem, který tvrdil, že provedl hack, který novináři poskytl citlivé fotografie k ověření.
Bicchierai pak pozval specialistu na informační bezpečnost Troy Hunt, aby provedl analýzu poskytnutých údajů a potvrdil, zda byl únik legitimní, spíše než podvod. Po potvrzení Hunt dále pitval data a zveřejněné podrobnosti o zranitelnostech ovlivňujících VTech. Zranitelnosti, jak zjistil Hunt, byly kruté.
Chyby v referencích na objekty znamenaly, že uživatelé mohli snadno přistupovat k účtům jiných prostřednictvím procházení adres URL, celý hostitelský systém byl extrémně citlivý na jakoukoli formu injekce SQL a došlo k:
"Žádný SSL nikde... Veškerá komunikace probíhá přes nešifrovaná připojení, včetně případů, kdy jsou přenášena hesla, údaje o rodiči a citlivé informace o dětech."
Také našel hesla „zašifrovaná“ pomocí jednoduchého hashování MD5, bez solení nebo dokonce pohledu na pokročilé hashování algoritmus, což znamená, že kdokoli, kdo má i mírně pokročilé počítačové dovednosti, by je pravděpodobně rozbil v krátkém prostoru čas.
Kromě toho byly tajné otázky a odpovědi ukládány v prostém textu, a to bez dalších bezpečnostních opatření. Hunt také poznamenal špatnou kvalitu bezpečnostních otázek, například „Jaká je vaše oblíbená barva?“ nebo „Kde jsi se narodil?“ a další stejně snadno zjistitelné informace.
Dětští uživatelé
Jakmile rodič vytvoří svůj účet pro dospělé, lze vytvořit podřízené účty. Každý podřízený účet je přímo propojen s účtem pro dospělé a mohou přidat svůj vlastní avatar, datum narození a pohlaví.
Data se poté ukládají do tabulky s vlastním odkazem pomocí „parent_id“ pro propojení obou účtů, například:
Znamená to, že s dodatečnými údaji zabezpečenými při narušení může být každé dítě jednoduše přiřazeno svému rodiči a zveřejňovat jeho adresy spolu s kopiemi dalších osobních údajů.
Změnit obchodní podmínky
Protože jsme tak často konfrontováni s dlouhými smlouvami o uživateli, prohlášeními o ochraně osobních údajů a změnami podmínek a podmínky webových stránek, her, služeb a dalších, všichni jsme se trochu jazykem jazyka použitý. Nemohu absolutně spočítat množství T&C, na které jsem klikl, a přemýšlet, jestli jsem v nějakém okamžiku podepsal svou duši.
Ty bys myslel standardní odpověď na závažné porušení dat Proč společnosti udržující porušení tajemství mohou být dobrou věcíS tolika informacemi online se všichni obáváme možného narušení bezpečnosti. Ale tato porušení by mohla být v USA utajena, aby vás ochránila. Zní to šíleně, tak co se děje? Přečtěte si více je důkladné vyšetřování všech bezpečnostních nedostatků, možná práci již vítá doplněné odborníky na informační bezpečnost, kteří se pokoušejí chránit citlivá data týkající se děti.
Ne pro VTech.
Místo toho aktualizovali své smluvní podmínky zřetelně nechutnou terminologií. V části s nadpisem Omezení odpovědnosti, podmínky číst:
„Berete na vědomí a souhlasíte s tím, že jakékoli informace, které odešlete nebo obdržíte během používání webu, nemusí být bezpečné a mohou být zachyceny nebo později získány neoprávněnými stranami.“
Omlouvám se. Co? Uživatel souhlasí s tím, že nebude naštvaný nebo nebude odpovědný za společnost, pokud bude znovu hacknut? V roce 2016, jak může každá společnost propagující jakoukoli formu síťového zařízení zodpovědně přesunout zátěž odpovědnost za jejich uživatele v případě, že aktivně vyhledávají citlivé informace za mnou.
Absolutní?
V žádném případě. Ještě před jejich podmínkami založenými na shenaniganech, Kancelář britského informačního komisaře byl vyšetřování porušení údajů Držte krok s nejnovějšími úniky dat - postupujte podle těchto 5 služeb a zdrojů Přečtěte si více , spolu s více jurisdikcí států USA. Stejně tak v bezprostředním důsledku porušení předpisů potvrdil hongkongský komisař pro ochranu soukromí Stephen Wong Úřad zahájil ve společnosti VTech „kontrolu souladu“ s cílem posoudit, zda společnost dodržovala základní bezpečnost zásady.
Když jsem psal tento článek, úřad britských informačních komisařů potvrdil, že nové smluvní podmínky by byly v rozporu s platnými právními předpisy Spojeného království, sdělením:
„Zákon je zřejmé, že za to, aby tyto údaje byly v bezpečí, odpovídají organizace zpracovávající osobní údaje lidí.“
Co bys měl dělat?
Upřímně, dokud nebylo prokázáno, že společnost VTech podstatně přepracovala jejich bezpečnostní operace, nepoužívejte jejich produkty, včetně jejich webových stránek.
V budoucnu by bylo rozumné před nákupem jakékoli síťové dětské hračky provést rychlé vyhledávání [[název produktu / název společnosti] + zabezpečení “, nebo můžete zkusit „[Název produktu / název společnosti] + narušení hackerů / dat.“ Každá z těchto kombinací rychle ilustruje bezpečnostní pohodu produktu, který se chystáte předat tvoje dítě.
Dochází k narušení bezpečnosti 3 Rizika pro vaše osobní údaje při pobytu v hoteluPobyt v hotelu může být pro vaši bezpečnost dat nebezpečný. Pokud nechcete, aby se váš další výlet proměnil v noční můru krádeže identity, zde je několik věcí, které byste měli mít na paměti. Přečtěte si více . Žijeme v masivně digitalizovaném světě, sdílení citlivých informací Pět způsobů, jak zajistit, aby vaše osobní data zůstala bezpečnáVaše data jste vy. Ať už se jedná o sbírku fotografií, které jste pořídili, obrázky, které jste vytvořili, zprávy, které jste napsali, příběhy, které jste vymysleli, nebo hudbu, kterou jste shromáždili nebo složili, vypráví příběh. Chraňte to. Přečtěte si více na velkém počtu webů. Nemusíme ale vrhněte se do palebné linie Je online bankovnictví bezpečné? Většinou, ale tady je 5 rizik, o kterých byste měli vědětO online bankovnictví je toho hodně. Je to pohodlné, může vám zjednodušit život, můžete dokonce dosáhnout lepších úspor. Je však internetové bankovnictví stejně bezpečné a bezpečné, jak by mělo být? Přečtěte si více a stejně tak máme právo očekávat modicum úcty 3 tipy pro prevenci podvodů online, které potřebujete znát v roce 2014 Přečtěte si více soukromí našich osobních údajů - natož soukromí našich dětí.
Ovlivněno porušením VTech? Nebo můžete sympatizovat s výrobcem hraček ve světě bezpečnosti sítí a informací? Dejte nám vědět níže!
Obrazové kredity:Hacker Man od tanberin přes Shutterstock
Gavin je Senior Writer pro MUO. On je také editor a SEO manažer pro MakeUseOf krypto-zaměřené sesterské stránky, Blocks Decoded. Má BA (Hons) Contemporary Writing s Digital Art Practices drancované z kopců Devonu, stejně jako více než deset let profesionálního psaní. Užívá si hojného množství čaje.
