Це був неспокійний час для постачальників електронних навчальних продуктів для дітей, VTech. Гонконгська компанія оголосила про плани з придбання конкурента на прямому ринку LeapFrog за 72 мільйони доларів, різко збільшивши свою частку на ринку і позиціонуючи себе як одного з провідних розробників і постачальників дитячих електронних навчальних продуктів. На жаль, тиждень минув не так, як планувалося.
VTech оновив свої умови і положення після великого злому в 2015 році, відверто перекладаючи відповідальність на батьків і опікунів, не замислюючись.
Що вони змінили? Що вони забезпечили? Що ти повинен робити?
Що сталося з VTech?
VTech зламали в листопаді минулого року VTech зламали VTech, зловмисник утік з даними понад 4 мільйони облікових записів для дорослих і понад 6 мільйонів облікових записів для дітей. Злом розкрив особисті дані. про кожен скомпрометований обліковий запис, включаючи імена, адреси електронної пошти, паролі, секретні питання та відповіді, IP-адреси, поштові адреси та історію завантажень. Крім того, база даних магазину додатків VTech, Learning Lodge, також була скомпрометована.
Звідси були скомпрометовані дані, включаючи журнали чату, особисті аудіофайли і фотографії, багато з яких належали безпосередньо дітям, які використовують пристрої.
Вразливості
Злом був спочатку викритий Лоренцо Біккерай, який написав для технологічної публікації журналу материнської плати Vice журналу. Після того, як початкова стаття була опублікована, Біккерай зв'язався з людиною, яка стверджувала, що здійснила злом, і надав журналісту важливі фотографії для перевірки.
Bicchierai потім запросив фахівця з інформаційної безпеки Троя Ханта проаналізувати надані дані, щоб підтвердити, чи був витік законним, а не обманом. Після підтвердження Хант додатково проаналізував дані і опублікував детальну інформацію про вразливості, що впливають на VTech. Уразливості, як виявив Хант, були жахливими.
Недоліки посилань на об'єкти означали, що користувачі могли легко отримувати доступ до облікових записів інших, переходячи за URL-адресами, вся хост-система була надзвичайно чутлива до будь-якої форми впровадження SQL-коду, і було:
"Ніякий SSL ніде... Всі комунікації здійснюються через незашифровані з'єднання, в тому числі коли передаються паролі, дані батьків і конфіденційна інформація про дітей ".
Він також виявив, що паролі «зашифровані» за допомогою простого хеш-коду MD5, без засолення або навіть з урахуванням вдосконаленого алгоритму хешування, а це означає, що будь-який, який має навіть трохи просунуті навички роботи з комп'ютером, ймовірно, зламає їх за короткий час.
Крім того, секретні питання і відповіді зберігалися у вигляді простого тексту, без будь-яких додаткових заходів безпеки. Хант також відзначив низьку якість питань безпеки, таких як «Який ваш улюблений колір?» Або «Де ви народилися?» І інший такий же простий для виявлення інформації.
Дочірні користувачі
Після того, як батько створив обліковий запис для дорослих, можуть бути створені дочірні облікові записи. Кожен обліковий запис дитини безпосередньо пов'язаний з обліковим записом для дорослих, і вони можуть додати свій власний аватар, дату народження і стать.
Це означає, що з додатковими даними, отриманими в результаті злому, кожна дитина може бути просто зіставлена зі своїм батьком, розкриваючи свої адреси разом зі стосами іншої особистої інформації.
Змінити T&C
Оскільки ми так часто стикаємося з тривалими угодами користувача, заявами про конфіденційність, змінами умов використання веб-сайтів, ігор, послуг і багатьом іншим, ми всі стали трохи блаженні по відношенню до використовуваної мови. Я абсолютно не можу порахувати кількість T&C, через яку я натиснув, і дивуюся, якщо в якийсь момент я підписав свою душу.
Ви могли б подумати, що стандартна відповідь на серйозне порушення даних порушення в - це ретельне розслідування всіх і всіх недоліків безпеки, можливо, вітаючи роботу, вже виконану фахівцями з інформаційної безпеки, які намагаються захистити конфіденційні дані, що стосуються дітей.
Не для VTech.
Замість цього вони оновили свої умови з явно сумнівною термінологією. У розділі «Обмеження відповідальності» терміни свідчать:
«Ви визнаєте і погоджуєтеся з тим, що будь-яка інформація, яку ви відправляєте або отримуєте під час використання сайту, може бути небезпечною і може бути перехоплена або згодом отримана неуповноваженими сторонами»
Мені шкода. Яка? Користувач погоджується не сердитися або нести відповідальність за компанію, якщо його знову зламають? У 2016 році, як будь-яка компанія, відповідальна за просування будь-якої форми мережевого пристрою, може перекласти тягар відповідальності на своїх користувачів у сценарії, де вони активно шукають конфіденційну інформацію, мені не по собі.
Звільняються?
Ні за що. Ще до їх махінацій, заснованих на положеннях і умовах, Офіс Уповноваженого з інформації Великобританії розслідував витік даних., поряд з кількома юрисдикціями штатів США. Аналогічним чином, відразу після порушення, комісар з питань конфіденційності Гонконгу Стівен Вонг підтвердив, що його офіс ініціював «перевірку відповідності» VTech, щоб оцінити, чи дотримувалася компанія основних принципів безпеки.
Коли я писав цю статтю, Управління з питань інформації Великобританії підтвердило, що нові умови будуть суперечити чинному законодавству Великобританії, заявивши:
«У законі ясно, що організації, які працюють з особистими даними людей, несуть відповідальність за їх безпеку».
Що ви повинні зробити?
Чесно кажучи, до тих пір, поки не буде доведено, що VTech істотно переглянув свої операції по забезпеченню безпеки, не використовуйте їх продукти, включаючи їх веб-сайт.
У майбутньому, перед купівлею будь-якої мережевої дитячої іграшки, було б доцільно виконати швидкий пошук «[назва продукту/назва компанії] + безпека», або ви можете спробувати «[назва продукту/назва компанії] + зламати/зламати дані». Будь-яка з цих комбінацій швидко проілюструє безпеку продукту, який ви збираєтеся передати своїй дитині.
Можливі порушення безпеки Ми живемо у світі цифрових технологій, обмінюємося конфіденційною інформацією на величезній кількості сайтів. Тим не менш, нам не потрібно кидатися на лінію вогню, і в рівній мірі ми маємо право розраховувати на деяку повагу. поради щодо конфіденційності наших особистих даних, не кажучи вже про наших дітей.