Hirdetés
Heves idő volt a gyermekek elektronikus tananyag-szállítóinak, a VTech-nek. A hongkongi székhelyű vállalat bejelentette a közvetlen piaci versenytársak felvásárlási terveit LeapFrog 72 millió dollárért, drasztikusan kibővíti piaci részesedésüket és pozícionálja magát a gyermekek elektronikus tanulási termékeinek egyik legfontosabb fejlesztője és beszállítójaként. Sajnos a hét nem folytatódott a tervek szerint.
A VTech 2015-ben egy nagy csapást követően frissítette a szerződési feltételeket, és második gondolat nélkül szemmel láthatóan átruházta a felelősség terheit a szülőkre és az ápolókra.
Mit változtak meg? Mit biztosítottak? Mit kellene tenned?
Mi történt a VTech-vel?
A VTech-et tavaly novemberben csapkodták le A VTech feltört, az Apple utálja a fejhallgató-csatlakozókat... [Tech News Digest]A hackerek leleplezik a VTech használóit, az Apple fontolóra veszi a fejhallgató-csatlakozó eltávolítását, a karácsonyi fények lelassíthatják a Wi-Fi-t, a Snapchal (RED) ágyba kerül, és emlékszik a Csillagok háborújának különlegességére. Olvass tovább
, a támadó több mint 4 millió felnőttfiókból és több mint 6 millió gyermekfiókból származik adatokkal. A hack nyilvánosságra hozta a személyes adatokat Öt módszer annak biztosítására, hogy személyes adatai biztonságban maradjanakAz adatai te vagy. Legyen egy fényképgyűjtemény, amelyet fényképezett, készített képeket készített, riportokat írt, gondolatait átgondolta, vagy zenét gyűjtött vagy komponált. Védje. Olvass tovább minden veszélyeztetett fiókból, beleértve a neveket, e-mail címeket, jelszavakat, titkos kérdéseket és válaszokat, IP-címeket, levelezési címeket és letöltési előzményeket. Mindezek mellett a VTech App Store adatbázisa, a Learning Lodge szintén veszélybe került.
Innentől kezdve az adatok, beleértve a csevegési naplókat, a személyes audiofájlokat és a fényképeket is veszélybe kerültek, sokuk közvetlenül az eszközöket használó gyermekekhez tartozik.
sérülékenységek
A csapkod kezdetben Lorenzo Bicchierai mutatta be, aki az Vice magazin technológiai központú írása volt Alaplap kiadvány. Az első cikk közzététele után a csapdát állító személy felvette a kapcsolatot Bicchierai-vel, aki érzékeny fényképeket küldött az újságírónak ellenőrzés céljából.
Bicchierai ezután meghívta az Troy Hunt információbiztonsági szakembert, hogy elemezze a rendelkezésre bocsátott adatokat annak igazolására, hogy a szivárgás legitim, nem pedig csalás. Megerősítéskor A vadászat tovább boncolt a VTech-t érintő biztonsági rések adatai és közzétett részletei. A sebezhetőség, amint Hunt felfedezte, szörnyű volt.
Az objektumreferencia-hiányosságok azt jelentették, hogy a felhasználók URL-címeken keresztül könnyen hozzáférhetnek mások fiókjaihoz, az egész host rendszer rendkívül érzékeny az SQL befecskendezés bármilyen formájára, és ott volt:
"Nincs SSL sehol... Minden kommunikáció titkosítatlan kapcsolaton keresztül zajlik, ideértve a jelszavak, a szülők adatainak és a gyerekekkel kapcsolatos érzékeny információk továbbítását."
Talált olyan jelszavakat is, amelyek "titkosítva" voltak egy egyszerű MD5 kivonattal, sózás nélkül, vagy akár egy haladó hash észlelése nélkül is. algoritmus, azaz bárki, aki még enyhén fejlett számítási képességekkel rendelkezik, valószínűleg rövid idő alatt feltöri őket idő.
Ezenkívül a titkos kérdéseket és válaszokat egyszerű szövegben tárolták, további biztonsági intézkedések nélkül. Hunt a biztonsági kérdések, például a „Mi a kedvenc színed?” Gyenge minőségét is megjegyezte. vagy „Hol születtél?” és egyéb, ugyanolyan egyszerűen felfedezésre váró információk.
Gyermekfelhasználók
Miután egy szülő létrehozta felnőtt fiókját, gyermekfiókok is létrehozhatók. Minden gyermekfiók közvetlenül kapcsolódik a felnőttfiókhoz, és hozzáadhatják saját avatárukat, születési idejük és nemét.
Az adatokat azután egy önhivatkozási táblázatban tárolják a „parent_id” használatával a két fiók összekapcsolásához, például:
Ez azt jelenti, hogy a jogsértés során biztosított további adatokkal minden gyermeket egyszerűen össze lehet hasonlítani a szülõvel, és címüket közzétehetik, valamint egyéb személyes információkkal együtt.
Változtassa meg az általános szerződési feltételeket
Mivel oly gyakran szembesülünk hosszú felhasználói megállapodásokkal, adatvédelmi nyilatkozatokkal és a feltételek megváltoztatásával valamint a weboldalak, a játékok, a szolgáltatások és a többi feltétel, mindannyian kicsit elmerültek a nyelv iránt használt. Egyáltalán nem tudom megszámolni az átvitt átmeneti és átmeneti szerződések mennyiségét, és azon gondolkodom, vajon valamikor aláírtam-e a lelkem.
Azt gondolnád, hogy a szokásos válasz egy súlyos adat megsértésére Miért lehet jó dolog az, ha a vállalkozásokat titokban tartják?Annyi online információval mindannyian aggódunk a lehetséges biztonsági sértések miatt. Ezeket a jogsértéseket azonban titokban lehet tartani az Egyesült Államokban az ön védelme érdekében. Őrültnek hangzik, szóval mi folyik itt? Olvass tovább a biztonság hiányosságainak alapos vizsgálata, talán üdvözölve a munkát az információbiztonsági szakemberek befejezték, akik megkísérlik megvédeni a gyermekek.
Nem a VTech számára.
Ehelyett kifejezetten kellemetlen terminológiával frissítették a feltételeket. Egy címsorban Korlátolt felelősség, a következő kifejezések:
"Ön tudomásul veszi és elfogadja, hogy a webhely használata során elküldött vagy kapott információ nem biztos, hogy biztonságos, és jogosulatlan felek elfoghatják, vagy később megszerezhetik azt."
Sajnálom. Mit? A felhasználó beleegyezik abba, hogy nem haragszik, vagy tartja felelősnek a társaságot, ha ismét feltörték őket? 2016-ban az, hogy bármely társaság felelősségteljesen reklámozza a hálózati eszközöket, megváltoztathatja a terheit felelősség a felhasználók iránt olyan helyzetben, amikor aktívan keresnek érzékeny információkat rajtam túl.
Mentesül?
Semmiképpen. Még a feltételeken alapuló shenaniganok előtt is Az Egyesült Királyság Információs Biztosának Irodája volt az adatsértés kivizsgálása Lépés a legfrissebb adatszivárgásokkal - Kövesse ezeket az 5 szolgáltatást és csatornát Olvass tovább , együtt több amerikai állam joghatósága. Hasonlóképpen, a jogsértés közvetlen következményeként, Stephen Wong, a hongkongi adatvédelmi biztos megerősítette véleményét az iroda „megfelelőség-ellenőrzést” indított a VTech-en annak felmérésére, hogy a vállalat betartotta-e az alapvető biztonságot elveket.
A cikk írása során az Egyesült Királyság Információs Biztosai Irodája megerősítette, hogy az új feltételek ellentétesek a jelenlegi brit törvényekkel, amely:
"A törvény egyértelmű, hogy az emberek személyes adatait kezelő szervezetek felelősek az adatok biztonságáért."
Mit kéne tenned?
Őszintén szólva, amíg be nem bizonyították, hogy a VTech jelentősen átalakította biztonsági műveletét, ne használja termékeiket, ideértve a webhelyet is.
A jövőben bármilyen hálózati gyermekjáték vásárlása előtt érdemes lenne gyors „[terméknév / cégnév] + biztonsági” keresést futtatni, vagy kipróbálhatja “[Terméknév / cégnév] + hack / adatsértés.” Ezen kombinációk bármelyike gyorsan szemlélteti annak a terméknek a jólétét, amelyet éppen átad a gyermeked.
Biztonsági megsértések történnek 3 A személyes adataival kapcsolatos kockázatok a szállodában való tartózkodás eseténA szállodában való tartózkodás veszélyes lehet az adatbiztonsága szempontjából. Ha nem akarja, hogy a következő utazása identitáslopás rémálommá váljon, érdemes szem előtt tartani néhány dolgot. Olvass tovább . Egy tömegesen digitalizált világban élünk, érzékeny információk megosztása Öt módszer annak biztosítására, hogy személyes adatai biztonságban maradjanakAz adatai te vagy. Legyen egy fényképgyűjtemény, amelyet fényképezett, készített képeket készített, riportokat írt, gondolatait átgondolta, vagy zenét gyűjtött vagy komponált. Védje. Olvass tovább hatalmas számú webhelyen. De nem kell dobjuk magunkat a tűzvezetékbe Biztonságos az internetes banki szolgáltatások? Leginkább, de itt van 5 olyan kockázat, amelyekről tudnia kellNagyon tetszik az online banki szolgáltatások. Kényelmes, leegyszerűsíti az életed, még jobb megtakarítási arányokat is elérhet. De vajon az internetes banki szolgáltatás olyan biztonságos-e, mint amilyennek lennie kellene? Olvass tovább és ugyanolyan jogunk van számítanunk rá csekély tisztelet 3 online csalás-megelőzési tipp, amelyet tudnia kell 2014-ben Olvass tovább a személyes adataink magánéletéhez - nem is beszélve gyermekeink adataitól.
Érinti a VTech megsértése? Vagy szimpátizálhat egy játékkészítővel a hálózati és információbiztonsági világban? Tudassa velünk alább!
Kép kreditek:Hacker ember Tanberin útján Shutterstockon keresztül
Gavin a MUO vezető írója. Ezenkívül a MakeUseOf kripto-központú testvére webhelyének, a Blocks Decoded szerkesztője és SEO igazgatója. Van egy BA (Hons) kortárs írása digitális művészeti gyakorlatokkal, amelyeket Devon dombjaiból ölelnek fel, valamint több mint egy évtizedes szakmai tapasztalattal rendelkezik. Nagyon sok teát fogyaszt.
