Peter Holmes
0 
4090
157
Je to bouřlivý čas pro dodavatele elektronických produktů pro vzdělávání dětí, VTech. Hongkongská společnost oznámila akviziční plány pro konkurenty na přímém trhu Skákání přes kozu za 72 milionů dolarů drasticky rozšiřuje svůj podíl na trhu a umísťuje se jako jeden z předních vývojářů a dodavatelů elektronických produktů pro vzdělávání dětí. Tento týden bohužel nepokračoval podle plánu.
VTech aktualizoval své podmínky v návaznosti na velký hack v roce 2015, bez očividného přesunutí břemene odpovědnosti na rodiče a pečovatele.
Co se změnili? Co zajistili? Co byste měli dělat?
Co se stalo s VTech?
VTech byl vloupán v loňském listopadu VTech napadl, Apple Hates sluchátka Jacks ... [Tech News Digest] VTech Gets Hacked, Apple Hates sluchátka Jacks… [Tech News Digest] Hackeři vystavit VTech uživatelům, Apple zvažuje odstranění jack pro sluchátka, vánoční světla mohou zpomalit vaše Wi-Fi, Snapchat se dostane do postele s (ČERVENOU) a vzpomíná si na speciální akci Star Wars Holiday Special. , útočník rozdává data z více než 4 milionů účtů pro dospělé a více než 6 milionů dětských účtů. Hack odhalil osobní údaje Pět způsobů, jak zajistit, že vaše osobní data zůstanou zabezpečená Pět způsobů, jak zajistit, že vaše osobní data zůstanou zabezpečená, vaše data jste vy. Ať už se jedná o sbírku fotografií, které jste pořídili, obrázky, které jste vytvořili, zprávy, které jste napsali, příběhy, které jste vymysleli, nebo hudbu, kterou jste sbírali nebo skládali, vypráví příběh. Chraňte to. každého kompromitovaného účtu, včetně jmen, e-mailových adres, hesel, tajných otázek a odpovědí, IP adres, poštovních adres a historie stahování. Kromě toho byla také ohrožena databáze obchodů s aplikacemi VTech, Learning Lodge.
Odtud byla ohrožena data včetně protokolů chatu, osobních zvukových souborů a fotografií, z nichž mnoho patří přímo dětem pomocí zařízení.
Zranitelnosti
Hack byl zpočátku odhalen Lorenzo Bicchierai, psaní pro technologicky zaměřené vice časopisu Základní deska vydání. Po zveřejnění původního článku byl Bicchierai kontaktován jednotlivcem, který tvrdil, že provedl hack, který novináři poskytl citlivé fotografie k ověření.
Bicchierai pak pozval specialistu na informační bezpečnost Troy Hunt, aby provedl analýzu poskytnutých údajů, aby potvrdil, zda byl únik legitimní, spíše než podvod. Po potvrzení Hunt dále disekoval data a zveřejnil podrobnosti o zranitelnosti ovlivňující VTech. Zranitelnosti, jak zjistil Hunt, byly kruté.
Chyby v referencích na objekty znamenaly, že uživatelé mohli snadno přistupovat k účtům jiných prostřednictvím procházení adres URL, celý hostitelský systém byl velmi citlivý na jakoukoli formu injekce SQL a došlo k:
“Žádný SSL kdekoli ... Veškerá komunikace probíhá přes nešifrovaná připojení, včetně přenosu hesel, údajů o rodiči a citlivých informací o dětech.”
Našel také hesla “šifrované” s jednoduchým hashováním MD5, bez solení nebo dokonce s pohledem na pokročilý algoritmus hashování, což znamená, že by je kdokoli, kdo má i mírně pokročilé počítačové dovednosti, pravděpodobně praskl v krátké době.
Kromě toho byly tajné otázky a odpovědi ukládány v prostém textu, a to bez dalších bezpečnostních opatření. Hunt také poznamenal špatnou kvalitu bezpečnostních otázek, jako je “Jaká je tvá oblíbená barva?” nebo “Kde jsi se narodil?” a další stejně snadno zjistitelné informace.
Dětští uživatelé
Jakmile rodič vytvoří svůj účet pro dospělé, lze vytvořit podřízené účty. Každý podřízený účet je přímo propojen s účtem pro dospělé a mohou přidat svůj vlastní avatar, datum narození a pohlaví.
Data se poté uloží do tabulky s vlastním odkazem pomocí a “parent_id” propojit oba účty, například:
Znamená to, že s dodatečnými údaji zabezpečenými při narušení může být každé dítě jednoduše přiřazeno svému rodiči a zveřejňovat jeho adresy spolu s kopiemi dalších osobních údajů..
Změnit obchodní podmínky
Protože jsme tak často konfrontováni s zdlouhavými uživatelskými dohodami, prohlášeními o ochraně osobních údajů, změnami podmínek webových stránek, her, služeb atd., Všichni jsme se trochu pouštili do používaného jazyka. Nemohu absolutně spočítat množství T&C, na které jsem klikl, a přemýšlet, jestli jsem v nějakém okamžiku podepsal svou duši.
Myslíte si, že standardní odpověď na závažné porušení údajů Proč společnosti udržující porušení tajemství mohou být dobrou věcí Proč společnosti udržující porušení tajemství mohou být dobrou věcí S tolika informacemi online se všichni obáváme potenciálních narušení bezpečnosti. Ale tato porušení by mohla být v USA utajena, aby vás ochránila. Zní to šíleně, tak co se děje? je důkladné vyšetřování všech bezpečnostních nedostatků, možná vítá práci již dokončenou odborníky na informační bezpečnost, kteří se snaží chránit citlivá data týkající se dětí.
Ne pro VTech.
Místo toho aktualizovali své smluvní podmínky zřetelně nechutnou terminologií. V části s nadpisem Omezení odpovědnosti, podmínky číst:
“Berete na vědomí a souhlasíte s tím, že jakékoli informace, které odešlete nebo obdržíte během používání webu, nemusí být bezpečné a mohou být zachyceny nebo později získány neoprávněnými stranami.”
Omlouvám se. Co? Uživatel souhlasí s tím, že nebude naštvaný nebo nebude odpovědný za společnost, pokud bude znovu hacknut? V roce 2016, jak jakákoli společnost propagující jakoukoli formu síťového zařízení zodpovědně může přesunout břemeno odpovědnosti na své uživatele ve scénáři, kdy aktivně vyhledávají citlivé informace, je mimo mě..
Absolutní?
V žádném případě. Dokonce ještě před jejich shenanigansem založeným na podmínkách a podmínkách shledala kancelář britského úřadu pro informace informace o porušení údajů. Držte krok s nejnovějšími úniky dat - Postupujte podle těchto 5 služeb a kanálů Držte krok s nejnovějšími úniky dat - postupujte podle těchto 5 služeb a zdrojů spolu s více jurisdikcemi amerického státu. Podobně v bezprostředním důsledku porušení předpisů potvrdil hongkonský komisař pro ochranu soukromí Stephen Wong, že jeho kancelář zahájila činnost “kontrola souladu” společnosti VTech posoudit, zda společnost dodržovala základní bezpečnostní zásady.
Když jsem psal tento článek, úřad britských informačních komisařů potvrdil, že nové podmínky by byly v rozporu s platnými právními předpisy Spojeného království, a uvedly:
“Zákon je zřejmé, že za ochranu těchto údajů jsou odpovědné organizace zpracovávající osobní údaje lidí”
Co byste měli dělat?
Upřímně, dokud nebylo prokázáno, že VTech podstatně přepracoval jejich bezpečnostní operace, nepoužívejte jejich produkty, včetně jejich webových stránek.
V budoucnu by bylo před nákupem jakékoli hračky pro děti v síti vhodné rychle spustit “[název produktu / název společnosti] + zabezpečení” hledat, nebo můžete zkusit “[název produktu / název společnosti] + narušení hack / dat.” Každá z těchto kombinací rychle ilustruje bezpečnostní pohodu produktu, který se chystáte předat vašemu dítěti.
Dochází k narušení bezpečnosti 3 Rizika vašich osobních údajů při pobytu v hotelu 3 Rizika vašich osobních údajů při pobytu v hotelu Pobyt v hotelu může být pro vaši bezpečnost dat nebezpečný. Pokud nechcete, aby se váš další výlet proměnil v noční můru krádeže identity, zde je několik věcí, které byste měli mít na paměti. . Žijeme v masivně digitalizovaném světě, sdílíme citlivé informace Pět způsobů, jak zajistit, aby vaše osobní údaje zůstaly v bezpečí Pět způsobů, jak zajistit, aby vaše osobní údaje zůstaly v bezpečí Vaše data jste vy. Ať už se jedná o sbírku fotografií, které jste pořídili, obrázky, které jste vytvořili, zprávy, které jste napsali, příběhy, které jste vymysleli, nebo hudbu, kterou jste sbírali nebo skládali, vypráví příběh. Chraňte to. na velkém počtu webů. Nemusíme se však házet do palebné linie Je online bankovnictví bezpečné? Většinou, ale zde je 5 rizik, o kterých byste měli vědět, je internetové bankovnictví bezpečné? Většinou, ale tady je 5 rizik, o kterých byste měli vědět O online bankovnictví je toho hodně. Je to pohodlné, může vám zjednodušit život, můžete dokonce dosáhnout lepších úspor. Je však internetové bankovnictví stejně bezpečné a bezpečné, jak by mělo být? a stejně tak máme právo očekávat, že bude respektováno 3 tipy na prevenci podvodů online, které potřebujete znát v roce 2014 3 tipy na prevenci podvodů online, které potřebujete znát v roce 2014, na ochranu osobních údajů - natož na ochranu osobních údajů děti.
Ovlivněno porušením VTech? Nebo můžete sympatizovat s výrobcem hraček ve světě bezpečnosti sítí a informací? Dejte nám vědět níže!
Image Credits: Hacker Man od tanberin přes Shutterstock