对于儿童电子学习产品供应商伟易达来说,这是一个动荡的时期。这家总部位于香港的公司宣布了以7200万美元的价格收购直接竞争对手LeemFrog 的计划,从而大大扩大了市场份额,并将自己定位为儿童电子学习产品的主要开发商和供应商之一。不幸的是,这一周没有按计划进行。
VTech在2015年发生大规模黑客攻击后更新了条款和条件,公然将责任的责任转移给了父母和看护人。
他们改变了什么?他们获得了什么?您应该怎么做?
VTech发生了什么事?
VTech于去年11月被盗,每个受感染帐户的名称,电子邮件地址,密码,机密问题和答案,IP地址,邮寄地址,以及下载历史记录。不仅如此,伟易达的应用商店数据库Learning Lodge也遭到了破坏。
从这里开始,包括聊天记录,个人音频文件和照片在内的数据也受到了破坏,其中许多直接属于使用设备的孩子
该漏洞最初是由Lorenzo Bicchierai揭露的,他是为Vice杂志以技术为中心的 Motherboard 出版物撰写的。最初的文章发表后,自称进行过黑客攻击的个人联系了比奇埃拉伊,后者向记者提供了敏感照片。
比奇埃拉伊随后邀请信息安全专家Troy Hunt分析提供的数据确认泄漏是否合法,而不是骗局。经确认,Hunt进一步剖析了数据并发布了影响VTech的漏洞的详细信息。正如Hunt所发现的那样,这些漏洞是残酷的。
对象引用缺陷意味着用户可以通过逐步访问URL轻松访问他人的帐户,整个主机系统对任何形式的SQL注入都极为敏感,因此是:
“任何地方都没有SSL…所有通信都是通过未加密的连接进行的,包括何时传输密码,父母的详细信息和有关孩子的敏感信息。"
他还发现密码是“已加密"一个简单的MD5哈希,不加盐,甚至看不到先进的哈希算法,这意味着任何具有稍微先进的计算技能的人都可能在很短的时间内破解它们。
更进一步,这是一个秘密问题答案以纯文本格式存储,根本没有其他安全措施。亨特还指出,安全问题的质量较差,例如“您最喜欢的颜色是什么?"或“您出生在哪里?"以及其他同样易于发现的信息。
创建他们的成人帐户,可以创建孩子帐户。每个孩子帐户都直接与成人帐户相关联,他们可以添加自己的化身,出生日期和性别。只需与父母配对,即可公开其地址以及其他许多个人信息。
更改条款与条件
由于我们经常面临冗长的用户协议,隐私声明,更改遵守网站,游戏,服务等的条款和条件,我们都对使用的语言有些不满。我绝对无法数出我点击过的T&C数量,想知道是否在某个时候签署了我的灵魂。
您会认为对重大数据泄露的标准回应是对任何和所有安全缺陷,也许欢迎信息安全专业人员已经完成的工作,这些工作试图保护与儿童有关的敏感数据。
不适用于伟易达。
他们更新了他们的术语和条件,但术语显然不适合。在标题为“责任限制"的部分中,条款如下:
“您承认并同意,在使用网站期间发送或接收的任何信息可能都不安全,并且可能
很抱歉。什么?用户同意如果再次遭到黑客攻击,不会生气或对公司负责?在2016年,在积极寻求敏感信息的情况下,任何公司负责任地推广任何形式的网络设备如何将责任重担转移给用户。
已解决?
没办法。甚至在基于条款和条件的恶作剧之前,英国信息专员办公室正在与美国多个州司法管辖区一起调查数据泄露事件。同样,在违反事件发生后,香港隐私事务专员黄宏发(Stephen Wong)证实,他的办公室已经对伟易达进行了“合规性检查",以评估该公司是否遵守基本的安全原则。
英国信息专员办公室在撰写本文时证实,新条款和条件将违反英国现行法律,并指出:“
“法律显然是由负责处理个人数据的组织负责保存该信息。数据安全"
您应该怎么做?
诚实地说,在证明VTech对其安全性操作进行了实质性修改之前,请勿使用其产品,包括其网站。
将来,在购买任何联网儿童玩具之前,请谨慎进行“ [产品名称/公司名称] +安全性"快速搜索,或者您可以尝试使用“ [产品名称/公司名称] +黑客/数据泄露。“这些组合中的任何一个都可以迅速说明您将要交给孩子的产品的安全性。
安全破坏将要发生保护我们个人数据的私密性-更不用说我们孩子的隐私了。
受VTech违规行为影响吗?还是您可以同情网络和信息安全领域的玩具制造商?在下面让我们知道!
图片来源:tanberin通过Shutterstock的《 Hacker Man》
