פרסומת

זו הייתה תקופה סוערת עבור ספקי מוצרי הלמידה האלקטרוניים לילדים, VTech. החברה מבוססת הונג קונג הודיעה על תוכניות רכישה של מתחרה בשוק הישיר LeapFrog תמורת 72 מיליון דולר, הרחיבו באופן דרסטי את נתח השוק שלהם ומיצבו עצמם כאחד המפתחים המובילים של ספקים במוצרי הלמידה האלקטרונית לילדים. לרוע המזל השבוע לא נמשך כמתוכנן.

VTech עדכן את התנאים וההגבלות שלהם בעקבות גרזן גדול בשנת 2015, והעביר את בוטות האחריות להורים ולמטפלות באופן בוטה ללא מחשבה שנייה.

מה הם שינו? מה הם הבטיחו? מה עליכם לעשות?

מה קרה ל- VTech?

VTech נפרצו בנובמבר האחרון VTech מתחבר, שקעי אוזניות של אפל שונאים... [Digest News Digest]האקרים חושפים את משתמשי VTech, אפל שוקלת להסיר את שקע האוזניות, אורות חג המולד יכולים להאט את ה- Wi-Fi שלכם, סנאפצ'ט נכנס למיטה עם (RED), וזוכר את חג החגים של מלחמת הכוכבים. קרא עוד התוקף ממציא את הנתונים של יותר מ -4 מיליון חשבונות למבוגרים, ומעל 6 מיליון חשבונות ילדים. האק חשף את הנתונים האישיים חמש דרכים להבטיח שהנתונים האישיים שלך יישארו מאובטחיםהנתונים שלך הם אתה. בין אם זה אוסף של צילומים שצילמת, תמונות שפיתחת, דוחות שכתבת, סיפורים שחשבת או מוסיקה שאספת או חיברת, זה מספר סיפור. הגן על זה.

instagram viewer
קרא עוד מכל חשבון שנפגע כולל שמות, כתובות דוא"ל, סיסמאות, שאלות ותשובות סודיות, כתובות IP, כתובות דיוור והיסטוריות הורדה. בנוסף לכך, גם מסד הנתונים של VTech בחנות האפליקציות, Learning Lodge, נפגע.

מכשיר VTech Tote and Go לילדים למידה

מכאן נפגעו נתונים כולל יומני צ'אט, קבצי שמע אישיים ותצלומים, רבים מהם שייכים ישירות לילדים באמצעות המכשירים.

פגיעויות

לורנצו Bicchierai, לראשונה, נחשף האק. הוא כתב לממוקד הטכנולוגיה של סגן המגזין לוח האם פרסום. לאחר פרסום המאמר הראשוני, קשר קשר עם Bicchierai על ידי האדם שטען כי ביצע את הגרזן, שסיפק תמונות רגישות לעיתונאית לצורך אימות.

Bicchierai הזמין אז את מומחה אבטחת המידע טרוי האנט לנתח את הנתונים שנמסרו כדי לאשר אם הדליפה הייתה לגיטימית ולא מתיחה. באישור, האנט גוזר עוד יותר הנתונים והפרטים שפורסמו על הפגיעויות המשפיעות על VTech. הפגיעויות, כפי שגילה האנט, היו מזוועות.

פגמים בהתייחסות לאובייקט פירושם שמשתמשים יכולים לגשת בקלות לחשבונות של אחרים על ידי דרישת כתובות URL, מערכת המארח כולה הייתה רגישה ביותר לכל סוג של הזרקת SQL והיה:

"אין SSL בשום מקום... כל התקשורת נוגעת בחיבורים שלא מוצפנים, כולל העברת סיסמאות, פרטי ההורה ומידע רגיש על ילדים."

הוא גם מצא סיסמאות "מוצפנות" עם חשיש MD5 פשוט, ללא מלחה, ואפילו לא ראיה של חשיפה מתקדמת אלגוריתם, כלומר כל מי שיש לו אפילו מיומנויות מחשוב מתקדמות מעט, עשוי לפצח אותם במרווח קצר של זמן.

בהמשך לכך, שאלות ותשובות חשאיות אוחסנו בטקסט רגיל, ללא אמצעי אבטחה נוספים כלל. האנט ציין גם את האיכות הירודה של שאלות האבטחה, כמו "מה הצבע האהוב עליך?" או "איפה נולדת?" ועוד מידע פשוט לא פחות לגלות.

משתמשי ילדים

לאחר שהורה יצר את חשבון המבוגרים שלו, ניתן ליצור חשבונות ילדים. כל חשבון ילד מקושר ישירות לחשבון המבוגרים, והם יכולים להוסיף את האווטאר שלהם, תאריך לידה ומין משלהם.

פרטי חשבון VTech Child מידע על CSVלאחר מכן הנתונים מאוחסנים בטבלת הפניה עצמית באמצעות "parent_id" לקישור בין שני החשבונות, כך:

פרטי קישור VTech למבוגרים וילדים

כלומר עם הנתונים הנוספים המאובטחים בהפרה, ניתן פשוט להתאים כל ילד לילד להורה שלהם, ולחשוף את הכתובות שלהם יחד עם המון מידע אישי אחר.

שנה את ה- T&C

מכיוון שלעתים קרובות אנו מתמודדים עם הסכמי משתמשים ארוכים, הצהרות פרטיות, שינויים בתנאים ותנאים של אתרים, משחקים, שירותים ועוד, כולנו נעשים מעט מבטאים בשפה בשימוש. אני בהחלט לא יכול לספור את כמות ה- T&C שעברתי עליהם, ותוהה אם בשלב מסוים חתמתי את נשמתי.

הייתם חושבים ש תגובה סטנדרטית להפרת נתונים משמעותית מדוע חברות שמפרות סודות יכולות להיות דבר טובעם כל כך הרבה מידע ברשת, כולנו חוששים מהפרות אבטחה אפשריות. אך ניתן לשמור בסוד בארצות הברית על מנת להגן עליך. זה נשמע מטורף, אז מה קורה? קרא עוד היא חקירה איתנה על כל החסרונות הביטחוניים, ואולי כבר מברכת על העבודה הושלמה על ידי אנשי אבטחת מידע המנסים להגן על נתונים רגישים הנוגעים ילדים.

לא עבור VTech.

במקום זאת, הם עדכנו את התנאים וההגבלות שלהם במינוח בלתי ברור. בקטע שכותרתו הגבלת האחריותמונחים נקראו:

"אתה מאשר ומסכים כי כל מידע שתשלח או תקבל במהלך השימוש שלך באתר אינו עשוי להיות מאובטח וייתכן שיורט או יירכש אחר כך על ידי גורמים לא מורשים".

אני מצטער. מה? המשתמש מסכים לא לכעוס או להחזיק את החברה באחריות אם הם שוב ייפרצו? בשנת 2016, כיצד כל חברה המקדמת כל צורה של מכשירים ברשת אחראית יכולה להעביר את הנטל של אחריות כלפי המשתמשים שלהם בתרחיש בו הם מחפשים באופן פעיל מידע רגיש מאחורי.

מוחלט?

אין סיכוי. עוד לפני שנהניגנים מבוססי התנאים שלהם, משרד נציבות המידע בבריטניה היה בחקירת הפרת הנתונים המשך להתעדכן בדליפות הנתונים העדכניות ביותר - עקוב אחר 5 השירותים והעדכונים הבאים קרא עוד , ביחד עם מספר תחומי שיפוט במדינה בארה"ב. באופן דומה, לאחר ההפרה המיידית, אישר נציב הפרטיות של הונג קונג, סטיבן וונג המשרד יזם "בדיקת תאימות" ב- VTech כדי להעריך אם החברה דבקה באבטחה בסיסית עקרונות.

בזמן שכתבתי מאמר זה, משרד נציבות המידע בבריטניה אישר שהתנאים וההגבלות החדשים ינוגדו את החוק הנוכחי בבריטניה, באומרו:

"החוק ברור כי ארגונים המטפלים בנתונים האישיים של אנשים הם האחראים על שמירת נתונים אלה"

מה עליך לעשות?

בכנות, עד שהוכח כי VTech ביצעו שיפוץ משמעותי בפעילות האבטחה שלהם, אל תשתמש במוצרים שלהם, כולל באתר האינטרנט שלהם.

chrome_2016-02-12_01-15-13

בעתיד, לפני שתקנה צעצוע לילדים ברשת, יהיה זה נבון לבצע חיפוש מהיר "[שם מוצר / שם חברה] + אבטחה", או שתוכל לנסות "[שם מוצר / שם חברה] + פריצה / הפרת נתונים." כל אחד מהשילובים הללו ימחיש במהירות את רווחת האבטחה של המוצר שאליו אתה עומד למסור הילד שלך.

הפרות אבטחה עומדות לקרות 3 סיכונים לנתונים האישיים שלך כשאתה במלוןשהות במלון יכולה להיות מסוכנת לביטחון הנתונים שלך. אם אינך רוצה שהטיול הבא שלך יהפוך לסיוט בגניבת זהות, הנה כמה דברים שכדאי לזכור. קרא עוד . אנו חיים בעולם דיגיטלי מאסיבי, שיתוף מידע רגיש חמש דרכים להבטיח שהנתונים האישיים שלך יישארו מאובטחיםהנתונים שלך הם אתה. בין אם זה אוסף של צילומים שצילמת, תמונות שפיתחת, דוחות שכתבת, סיפורים שחשבת או מוסיקה שאספת או חיברת, זה מספר סיפור. הגן על זה. קרא עוד על פני מספר עצום של אתרים. עם זאת, איננו חייבים לזרוק את עצמנו לקו הירי האם הבנקאות המקוונת בטוחה? לרוב, אך הנה 5 סיכונים שכדאי לדעת עליהםיש הרבה מה לאהוב בבנקאות מקוונת. זה נוח, יכול לפשט את חייך, אולי אפילו תקבל שיעורי חיסכון טובים יותר. אך האם בנקאות מקוונת בטוחה ובטוחה כפי שהיא צריכה להיות? קרא עוד ובאותה מידה, יש לנו את הזכות לצפות מצב של כבוד 3 טיפים למניעת הונאה מקוונים שעליכם לדעת בשנת 2014 קרא עוד לפרטיות הנתונים האישיים שלנו - קל וחומר זה של ילדינו.

מושפע מהפרת VTech? או שאתה יכול להזדהות עם יצרנית צעצועים בעולם הרשתות ואבטחת המידע? תן לנו לדעת להלן!

זיכויים לתמונה:האקר מן על ידי טנברין דרך Shutterstock

גבין הוא סופר בכיר ב- MUO. הוא גם עורך ומנהל SEO של אתר האחות הממוקדת בקריפטו של MakeUseOf, Blocks Decoded. הוא בעל תואר ראשון (Hons) בכתיבה עכשווית עם פרקטיקות באמנות דיגיטלית, הנדנדה מגבעות דבון, וכן ניסיון של למעלה מעשור של כתיבה מקצועית. הוא נהנה מכמויות תה רבות.