VTech jugando suelto con los datos de sus hijos

Ha sido un momento tumultuoso para los proveedores de productos de aprendizaje electrónico para niños, VTech. La compañía con sede en Hong Kong anunció planes de adquisición para competidores del mercado directo Pídola por $ 72 millones, expandiendo drásticamente su participación en el mercado y posicionándose como uno de los principales desarrolladores y proveedores de productos de aprendizaje electrónico para niños. Desafortunadamente, la semana no continuó como estaba planeada..

VTech actualizó sus términos y condiciones luego de un gran ataque en 2015, cambiando descaradamente la responsabilidad de los padres y cuidadores sin pensarlo dos veces.

¿Qué han cambiado? ¿Qué han asegurado? Que deberias estar haciendo?

Lo que pasó con VTech?

VTech fue hackeado en noviembre pasado VTech es hackeado, Apple odia los conectores para auriculares ... [Tech News Digest] VTech es hackeado, Apple odia los auriculares para auriculares ... [Tech News Digest] Los hackers exponen a los usuarios de VTech, Apple considera quitar el conector para auriculares, las luces de Navidad pueden disminuir tu Wi-Fi, Snapchat se acuesta con (RED) y recuerda el Especial de Vacaciones de Star Wars. Lea más: el atacante se hace con los datos de más de 4 millones de cuentas de adultos y más de 6 millones de cuentas de niños. El truco expuso los datos personales. Cinco formas de garantizar que sus datos personales permanezcan seguros. Cinco formas de garantizar que sus datos personales permanezcan seguros. Sus datos son usted. Ya sea una colección de fotografías que tomó, imágenes que desarrolló, informes que escribió, historias que inventó o música que recopiló o compuso, cuenta una historia. Protegerlo. Lea más de cada cuenta comprometida, incluidos nombres, direcciones de correo electrónico, contraseñas, preguntas y respuestas secretas, direcciones IP, direcciones de correo e historiales de descargas. Además de esto, la base de datos de la tienda de aplicaciones de VTech, Learning Lodge, también se vio comprometida.

A partir de aquí, los datos, incluidos los registros de chat, los archivos de audio personales y las fotografías se vieron comprometidos, muchos de ellos pertenecientes directamente a los niños que utilizan los dispositivos..

Vulnerabilidades

El truco fue expuesto inicialmente por Lorenzo Bicchierai, escribiendo para la revista Vice, centrada en la tecnología. tarjeta madre publicación. Después de que se publicó el artículo inicial, Bicchierai fue contactado por el individuo que afirmaba haber realizado el pirateo, quien proporcionó fotografías delicadas al periodista para su verificación..

Bicchierai luego invitó al especialista en seguridad de la información, Troy Hunt, a analizar los datos proporcionados para confirmar si la fuga era legítima, en lugar de un engaño. Tras la confirmación, Hunt diseccionó los datos y publicó los detalles de las vulnerabilidades que afectan a VTech. Las vulnerabilidades, como descubrió Hunt, fueron atroces..

Las fallas en la referencia de los objetos significaban que los usuarios podían acceder fácilmente a las cuentas de otros al pasar por las URL, todo el sistema host era extremadamente sensible a cualquier forma de inyección de SQL, y había:

“Sin SSL en cualquier lugar ... Todas las comunicaciones se realizan a través de conexiones no cifradas, incluso cuando se transmiten las contraseñas, los detalles de los padres y la información confidencial sobre los niños.”

También encontró contraseñas. “cifrado” con un simple hash MD5, sin sal, o incluso con la vista de un algoritmo de hashing avanzado, lo que significa que cualquier persona con habilidades de computación incluso ligeramente avanzadas probablemente los descifre en un corto espacio de tiempo.

Además, las preguntas y respuestas secretas se almacenaron en texto sin formato, sin medidas de seguridad adicionales. Hunt también notó la mala calidad de las preguntas de seguridad, como “Cuál es tu color favorito?” o “Donde naciste?” y otra información igualmente simple de descubrir.

Usuarios infantiles

Una vez que un padre ha creado su cuenta de adulto, se pueden crear cuentas de niño. Cada cuenta infantil está directamente vinculada a la cuenta para adultos, y pueden agregar su propio avatar, fecha de nacimiento y género.

Luego, los datos se almacenan en una tabla de autorreferencia utilizando una “Identificación de los padres” para vincular ambas cuentas, de esta manera:

Lo que significa que con los datos adicionales asegurados en la violación, todos y cada uno de los niños podrían ser simplemente emparejados con sus padres, revelando sus direcciones junto con resmas de otra información personal.

Cambiar los T&C

Como a menudo nos enfrentamos a acuerdos de usuario prolongados, declaraciones de privacidad, cambios en los términos y condiciones de los sitios web, juegos, servicios y más, todos nos hemos vuelto un poco blasé al lenguaje utilizado. Absolutamente no puedo contar la cantidad de T&C que he hecho clic, y me pregunto si en algún momento firmé mi alma..

Usted pensaría que la respuesta estándar a una brecha de datos importante Por qué las empresas Mantener los incumplimientos en secreto podrían ser una buena cosa Por qué las empresas Mantener los incumplimientos en secreto podría ser una buena cosa Con tanta información en línea, todos nos preocupamos por posibles violaciones de seguridad. Pero estas infracciones podrían mantenerse en secreto en los EE. UU. Para protegerte. Suena loco, entonces, ¿qué está pasando? Read More es una investigación sólida sobre todas y cada una de las deficiencias de seguridad, tal vez acogiendo con satisfacción el trabajo ya realizado por profesionales de la seguridad de la información que intentan salvaguardar datos confidenciales relacionados con los niños..

No para VTech.

En su lugar, actualizaron sus términos y condiciones con terminología claramente desagradable. En una sección titulada Limitación de responsabilidad, términos leídos:

“Usted reconoce y acepta que cualquier información que envíe o reciba durante su uso del sitio puede no ser segura y puede ser interceptada o adquirida posteriormente por terceros no autorizados.”

Lo siento. ¿Qué? ¿El usuario acepta no estar enojado o responsabilizar a la compañía si son hackeados nuevamente? En 2016, cómo cualquier empresa que promueva cualquier forma de dispositivo en red de manera responsable puede transferir la carga de responsabilidad a sus usuarios en un escenario en el que están buscando activamente información sensible, me supera..

Absuelto?

De ninguna manera. Incluso antes de sus travesuras basadas en los términos y condiciones, la Oficina del Comisionado de Información del Reino Unido estaba investigando la violación de datos. Manténgase al día con las últimas fugas de datos: siga estos 5 servicios y noticias Manténgase al día con las últimas fugas de datos: siga estos 5 servicios y fuentes Lea más , junto con múltiples jurisdicciones estatales de los Estados Unidos. Del mismo modo, inmediatamente después de la violación, el Comisionado de Privacidad de Hong Kong, Stephen Wong, confirmó que su oficina había iniciado una “control de conformidad” en VTech para evaluar si la compañía se había adherido a los principios básicos de seguridad.

Mientras escribía este artículo, la Oficina de Comisionados de Información del Reino Unido confirmó que los nuevos términos y condiciones contravendrían la ley actual del Reino Unido, declarando:

“La ley establece claramente que las organizaciones que manejan los datos personales de las personas son las responsables de mantenerlos seguros.”

Que debes hacer?

Honestamente, hasta que se haya demostrado que VTech ha revisado sustancialmente su operación de seguridad, No utilice sus productos, incluido su sitio web..

En el futuro, antes de comprar cualquier juguete para niños en red, sería prudente ejecutar un rápido “[nombre del producto / nombre de la empresa] + seguridad” busca, o podrías intentarlo “[nombre del producto / nombre de la empresa] + hack / violación de datos.” Cualquiera de esas combinaciones ilustrará rápidamente el bienestar de seguridad del producto que está a punto de entregar a su hijo.

Se producirán violaciones de seguridad. 3 Riesgos para sus datos personales cuando se hospeda en un hotel 3 Riesgos para sus datos personales cuando se hospeda en un hotel Alojarse en un hotel puede resultar peligroso para la seguridad de sus datos. Si no quieres que tu próximo viaje se convierta en una pesadilla de robo de identidad, aquí hay algunas cosas que debes tener en cuenta. Lee mas . Vivimos en un mundo masivamente digitalizado, compartiendo información confidencial Cinco maneras de garantizar que sus datos personales permanezcan seguros Cinco maneras de garantizar que sus datos personales permanezcan seguros Sus datos son usted. Ya sea una colección de fotografías que tomó, imágenes que desarrolló, informes que escribió, historias que inventó o música que recopiló o compuso, cuenta una historia. Protegerlo. Lea más a través de una gran cantidad de sitios. Sin embargo, no tenemos que lanzarnos a la línea de fuego ¿Es segura la banca en línea? En su mayoría, pero aquí hay 5 riesgos que debe conocer ¿Es la banca en línea segura? Sobre todo, pero aquí hay 5 riesgos que debe conocer Hay muchas cosas que me gustan de la banca en línea. Es conveniente, puede simplificar su vida, incluso puede obtener mejores tasas de ahorro. ¿Pero es la banca en línea tan segura como debería ser? Lea más, e igualmente, tenemos el derecho de esperar un mínimo de respeto 3 consejos de prevención de fraude en línea que necesita saber en 2014 3 consejos de prevención de fraude en línea que necesita saber en 2014 Lea más sobre la privacidad de nuestros datos personales: deje solo el de nuestros hijos.

¿Afectado por la violación de VTech? ¿O puede simpatizar con un fabricante de juguetes en el mundo de las redes y la seguridad de la información? Háganos saber a continuación!

Créditos de la imagen: Hacker Man por tanberin a través de Shutterstock

Explorar más sobre: ​​Privacidad en línea, Juguetes.