Vtech: jouer en vrac avec les données de vos enfants
Video: Tout PARENT doit suivre cette vidéo! Les JOUETS de vos ENFANTS ne sont pas innocents!
Contenu
Cela a été une période tumultueuse pour l`apprentissage électronique des enfants fournisseurs de produits, VTech. La société basée à Hong Kong a annoncé des plans d`acquisition pour concurrent direct sur le marché Dépasser pour 72 millions $, élargissant considérablement leur part de marché et de se positionner comme l`un des principaux développeurs et fournisseurs de produits d`apprentissage en électronique pour les enfants. Malheureusement, la semaine n`a pas continué comme prévu.
Video: Les enfants de la terre
VTech mis à jour leurs termes et conditions d`un grand bidouille en 2015, passant de manière flagrante le fardeau de la responsabilité sur les parents et le personnel soignant sans une seconde pensée.
Qu`ont-ils changé? Qu`ont-ils obtenu? Que devriez-vous faire?
Qu`est-il arrivé VTech?
VTech ont été piraté Novembre dernier, l`attaquant de partir avec les données de plus de 4 millions de comptes pour adultes, et plus de 6 millions de comptes enfants. le hack exposé les données personnelles de chaque compte compromis, y compris les noms, adresses email, mots de passe, des questions et des réponses secrètes, les adresses IP, adresses postales, et des histoires de téléchargement. En plus de cela, la base de données de magasin d`applications de VTech, Learning Lodge, a également été compromise.VTech se piraté, d`Apple Hates casque ... Jacks [Tech Digest Nouvelles]VTech se piraté, d`Apple Hates casque ... Jacks [Tech Digest Nouvelles]Les pirates informatiques exposent les utilisateurs VTech, Apple considère retirer la prise casque, lumières de Noël peuvent ralentir votre connexion Wi-Fi, Snapchat se met au lit avec (RED), et en se rappelant la Star Wars Holiday Special.Lire la suite
Video: Les enfants de la terre
A partir de là, les données, y compris les journaux de chat, les fichiers audio personnels et des photographies ont été compromises, beaucoup appartenant directement aux enfants à l`aide des appareils.
vulnérabilités
Le hack a d`abord été exposée par Lorenzo Bicchierai, écrivant pour le magazine du vice-technologie axée sur Carte mère publication. Après l`article initial a été publié, Bicchierai a été contacté par l`individu prétendant avoir effectué le hack, qui a fourni des photos sensibles au journaliste pour vérification.
Bicchierai a ensuite invité spécialiste de la sécurité de l`information Troy Hunt pour analyser les données fournies pour confirmer si la fuite était légitime, plutôt que d`un canular. Lors de la confirmation, Hunt encore disséqué les données et publié des détails sur les vulnérabilités affectant VTech. Les vulnérabilités, comme Hunt a découvert, étaient atroces.
défauts de référence d`objets destinés aux utilisateurs peuvent facilement accéder aux comptes des autres en marchant à travers les URL, le système hôte entier était extrêmement sensible à toute forme d`injection SQL, et il y avait:
« Non SSL partout ... Toutes les communications sont sur des connexions non cryptées, y compris lorsque les mots de passe, les détails des parents et des informations sensibles sur les enfants sont transmises. »
Il a également trouvé des mots de passe « crypté » avec un simple hachage MD5, sans salage, ou même la vue d`un algorithme de hachage avancé, ce qui signifie tout le monde avec eux sévirait probablement des compétences informatiques avancées, même un peu dans un court laps de temps.
Suite à cela, des questions et des réponses secrètes ont été stockées dans le texte brut, sans mesures de sécurité supplémentaires du tout. Hunt a également noté la mauvaise qualité des questions de sécurité, telles que « Quelle est votre couleur? Favori » ou « Où êtes-vous né? » Et d`autres tout aussi simple à découvrir des informations.
Utilisateurs d`enfants
Une fois qu`un parent a créé son compte pour adultes, comptes enfants peuvent être créés. Chaque compte enfant est directement lié au compte des adultes, et ils peuvent ajouter leur propre avatar, date de naissance et le sexe.
Les données sont ensuite stockées dans une table auto-référencement en utilisant un « parent_id » pour relier les deux comptes ensemble, comme ceci:
Ce qui signifie que les données supplémentaires fixées dans la brèche, chaque enfant pourrait être simplement adaptée à leurs parents, de divulguer leur adresse ainsi que d`autres ramettes renseignements personnels.
Le changement T&C
Comme nous sommes si souvent confrontés à des accords longs utilisateur, déclarations de confidentialité, des modifications aux termes et conditions de sites Web, des jeux, des services et plus, nous sommes tous devenus un peu blasé à la langue utilisée. Je ne peux absolument pas compter la quantité de T&C J`ai cliqué, et je me demande si à un moment donné j`ai signé mon âme plus.
Vous penseriez la réponse standard à une violation de données importante est une enquête solide sur tout et toutes les lacunes de sécurité, accueillant peut-être les travaux déjà réalisés par les professionnels de la sécurité de l`information qui tentent de protéger les données sensibles relatives aux enfants.Pourquoi les entreprises Garder un secret pourrait Violations être une bonne chosePourquoi les entreprises Garder un secret pourrait Violations être une bonne choseAvec autant d`informations en ligne, nous inquiétons tous de failles de sécurité potentielles. Mais ces violations pourraient être gardées secrètes aux Etats-Unis afin de vous protéger. Cela semble fou, donc ce qui se passe?Lire la suite
Pas pour VTech.
Au lieu de cela, ils ont mis à jour leurs conditions avec la terminologie nettement peu recommandables. Dans une section en tête d`affiche Limitation de responsabilité, termes lire:
« Vous reconnaissez et acceptez que les informations que vous envoyez ou recevez lors de votre utilisation du site ne sont pas sécurisés et peuvent être interceptées ou plus tard acquis par des parties non autorisées »
Je suis désolé. Quelle? L`utilisateur accepte de ne pas être en colère ou tenir la société responsable s`ils sont piraté à nouveau? En 2016, comment toute société la promotion de toute forme de dispositif en réseau de manière responsable peut déplacer le fardeau de la responsabilité sur leurs utilisateurs dans un scénario où ils recherchent activement des informations sensibles est au-delà de moi.
Absous?
En aucune façon. Avant même que leurs termes et manigances fondées sur les conditions, le Bureau du Royaume-Uni Commissaire à l`information enquête sur la violation des données, ainsi que plusieurs juridictions des États américains. De même, à la suite immédiate de la violation, Hong Kong commissaire Stephen Wong confirmé son bureau avait lancé un « contrôle de conformité » sur VTech pour évaluer si l`entreprise avait adhéré aux principes de sécurité de base.Tenez-vous avec les dernières fuites de données - Suivez ces 5 services & FeedsTenez-vous avec les dernières fuites de données - Suivez ces 5 services & FeedsLire la suite
Comme je en train d`écrire cet article, le Bureau commissaires à l`information au Royaume-Uni a confirmé que les nouveaux termes et conditions contreviendrait la législation en vigueur au Royaume-Uni, en déclarant:
« La loi est clair que ce sont les organismes de traitement des données personnelles des personnes qui sont responsables de garder ces données sécurisé »
Que devrais tu faire?
Honnêtement, jusqu`à ce que VTech ont été prouvés avoir considérablement remanié leur opération de sécurité, ne pas utiliser leurs produits, y compris leur site web.
À l`avenir, avant d`acheter un jouet pour enfant en réseau, il serait prudent d`exécuter un rapide « [nom du produit / nom de la société] + sécurité » recherche, ou vous pouvez essayer « [nom du produit / société] + pirater / violation de données. » Tous ces combinaisons illustrera rapidement la sécurité du bien-être du produit que vous êtes sur le point de remettre à votre enfant.
Les failles de sécurité vont se produire. Nous vivons dans un monde massivement numérisé, partager des informations sensibles à travers un grand nombre de sites. Cependant, nous ne devons pas nous jeter dans la ligne de tir, et aussi, nous avons le droit d`attendre un minimum de respect à la vie privée de nos données personnelles - et encore moins celle de nos enfants.3 Les risques pour vos données personnelles lors d`un séjour dans un Hôtel3 Les risques pour vos données personnelles lors d`un séjour dans un HôtelSéjourner dans un hôtel peut se révéler dangereux pour la sécurité des données. Si vous ne voulez pas que votre prochain voyage à se transformer en un cauchemar vol d`identité, voici quelques choses à garder à l`esprit.Lire la suite
Affecté par la violation VTech? Ou pouvez-vous sympathiser avec un fabricant de jouets dans le monde des réseaux et de la sécurité de l`information? Faites-nous savoir ci-dessous!