İlan
Çocukların elektronik öğrenme ürünü tedarikçileri VTech için çalkantılı bir zamandı. Hong Kong merkezli şirket, doğrudan pazar rakipleri için satın alma planlarını açıkladı Birdirbir 72 milyon dolar içinpazar paylarını büyük ölçüde genişletiyor ve kendilerini çocukların elektronik öğrenme ürünlerinde önde gelen geliştiricilerden ve tedarikçilerinden biri olarak konumlandırıyor. Ne yazık ki, hafta planlandığı gibi devam etmedi.
VTech, 2015 yılında büyük bir hack sonrasında şartlarını ve koşullarını güncelledi ve sorumluluk üstünü ikinci bir düşünce olmadan ebeveynlere ve bakıcılara açıkça değiştirdi.
Ne değiştiler? Ne temin ettiler? Ne yapmalısın?
VTech'e Ne Oldu?
VTech geçen Kasım ayında hacklendi VTech Hacked Alır, Apple Kulaklık Jakları Nefret... [Teknoloji Haberleri Özeti]Hackerlar VTech kullanıcılarını ortaya çıkarır, Apple kulaklık jakını çıkarmayı düşünür, Noel ışıkları Wi-Fi'nizi yavaşlatabilir, Snapchat (RED) ile yatağa girer ve Star Wars Holiday Special'ı hatırlar. Daha fazla oku
, saldırgan 4 milyondan fazla yetişkin hesabından ve 6 milyondan fazla çocuk hesabından veri çıkarıyor. Kesmek kişisel verileri ifşa etti Kişisel Verilerinizin Güvende Kalmasını Sağlamanın Beş YoluVerileriniz sensin. Çektiğiniz fotoğraflardan oluşan bir koleksiyon, geliştirdiğiniz görüntüler, yazdığınız raporlar, düşündüğünüz hikayeler veya topladığınız veya bestelediğiniz müzik olsun, bir hikaye anlatır. Onu koru. Daha fazla oku isimler, e-posta adresleri, şifreler, gizli sorular ve cevaplar, IP adresleri, posta adresleri ve indirme geçmişleri dahil olmak üzere güvenliği ihlal edilmiş her hesabın. Bunun yanı sıra VTech’in uygulama mağazası veritabanı olan Learning Lodge da tehlikeye atıldı.
Buradan, sohbet günlükleri, kişisel ses dosyaları ve fotoğraflardan oluşan veriler tehlikeye atılmış, birçoğu doğrudan cihazları kullanan çocuklara aitti.
güvenlik açıkları
Hack başlangıçta Vice dergisinin teknoloji odaklı yazdığı Lorenzo Bicchierai tarafından ortaya çıkarıldı Anakart yayın. İlk makalenin yayınlanmasından sonra, gazeteciye doğrulama için hassas fotoğraflar sağlayan kesmek gerçekleştirdiğini iddia eden kişi tarafından Bicchierai ile temasa geçildi.
Bicchierai daha sonra bilgi güvenliği uzmanı Troy Hunt'ı, sızıntının bir aldatmacadan ziyade meşru olup olmadığını doğrulamak için sağlanan verileri analiz etmeye davet etti. Onaylandığında, Daha fazla disseke avla VTech'i etkileyen güvenlik açıklarının verileri ve yayınlanmış ayrıntıları. Hunt'ın keşfettiği gibi güvenlik açıkları iğrençti.
Nesne referansı kusurları, kullanıcıların URL'lere adım atarak başkalarının hesaplarına kolayca erişebileceği anlamına geliyordu, tüm ana bilgisayar sistemi herhangi bir SQL enjeksiyonuna son derece duyarlıydı ve vardı:
“Hiçbir yerde SSL yok… Parolalar, ebeveynin ayrıntıları ve çocuklar hakkındaki hassas bilgiler de dahil olmak üzere tüm iletişim şifrelenmemiş bağlantılar üzerinden yapılır.”
Ayrıca, basit bir MD5 karmasıyla “şifrelenmiş”, tuzsuz, hatta gelişmiş bir karmayı bile görmeyen şifreler buldu. algoritması, yani biraz daha gelişmiş bilgi işlem becerilerine sahip olan herkesin onları kısa bir alanda saati.
Ayrıca, gizli sorular ve cevaplar hiçbir ek güvenlik önlemi alınmaksızın düz metin olarak saklanmıştır. Hunt ayrıca, “En sevdiğiniz renk nedir?” Gibi güvenlik sorularının kalitesinin düşük olduğunu da belirtti. veya “Nerede doğdun?” ve keşfedilmesi kolay diğer bilgiler.
Çocuk Kullanıcılar
Bir ebeveyn yetişkin hesabını oluşturduktan sonra çocuk hesapları oluşturulabilir. Her çocuk hesabı doğrudan yetişkin hesabıyla bağlantılıdır ve kendi avatarlarını, doğum tarihlerini ve cinsiyetlerini ekleyebilirler.
Veriler daha sonra her iki hesabı birbirine bağlamak için bir “parent_id” kullanılarak kendi kendine referans veren bir tabloda depolanır:
Bu, ihlalde güvence altına alınan ek verilerle, her çocuğun ebeveynleriyle eşleştirilebileceği ve adreslerini diğer kişisel bilgilerin toplanmalarıyla açıklayabileceği anlamına gelir.
Şartlar ve Koşulları Değiştir
Uzun kullanıcı sözleşmeleri, gizlilik bildirimleri, şartlardaki değişikliklerle sık sık karşılaştığımız için ve web sitelerinin, oyunların, hizmetlerin ve daha fazlasının koşulları, hepimiz dilin küçük bir neşesi haline geldik Kullanılmış. Tıkladığım T&C miktarını kesinlikle sayamıyorum ve bir noktada ruhumu imzalayıp imzalamadığımı merak ediyorum.
Sen düşünecektin büyük veri ihlaline standart yanıt İhlalleri Gizli Tutan Şirketler Neden İyi Bir Şey Olabilir?Çevrimiçi olarak bu kadar çok bilgi ile, hepimiz olası güvenlik ihlallerinden endişe ediyoruz. Ancak bu ihlaller sizi korumak için ABD'de gizli tutulabilir. Çılgınca geliyor, peki neler oluyor? Daha fazla oku herhangi bir güvenlik açığı için sağlam bir soruşturma, belki de işi şimdiden memnuniyetle karşılıyor ile ilgili hassas verileri korumaya çalışan bilgi güvenliği uzmanları tarafından çocuklar.
VTech için değil.
Bunun yerine, şartlarını ve koşullarını belirgin bir şekilde hoş olmayan bir terminoloji ile güncellediler. Başlıklı bir bölümde Sorumluluk Sınırlaması, şartlar okundu:
“Siteyi kullanımınız sırasında gönderdiğiniz veya aldığınız bilgilerin güvenli olmayabileceğini ve yetkisiz taraflarca ele geçirilebileceğini veya daha sonra alınabileceğini kabul edersiniz”
Üzgünüm. Ne? Kullanıcı tekrar saldırıya uğradığında kızgın olmamayı veya şirketi sorumlu tutmayı kabul eder? 2016 yılında, herhangi bir ağa bağlı cihaz türünü sorumlu bir şekilde tanıtan herhangi bir şirket, aktif olarak hassas bilgi aradıkları bir senaryoda kullanıcılarına karşı sorumluluk benden öte.
Sorun kalmadı?
Asla. Şartlar ve koşullara dayalı maskaralıklardan önce bile, İngiltere'nin Bilgi Komiseri Ofisi oldu veri ihlalinin araştırılması En Son Veri Sızıntılarını Takip Edin - Bu 5 Hizmeti ve Yayını Takip Edin Daha fazla oku , ile birlikte birden fazla ABD Devleti yargı yetkisi. Benzer şekilde, ihlalin hemen ardından, Hong Kong Gizlilik Komiseri Stephen Wong, ofis, şirketin temel güvenliğe bağlı olup olmadığını değerlendirmek için VTech'te bir “uygunluk kontrolü” başlatmıştı prensipler.
Bu makaleyi yazarken, İngiltere Bilgi Komiserleri Ofisi yeni hüküm ve koşulların mevcut İngiltere yasalarına aykırı olacağını doğruladı, belirten:
“Yasa, insanların kişisel verilerini işleyen kuruluşların bu verileri güvende tutmaktan sorumlu olduğu açıktır”
Ne yapmalısın?
Dürüst olmak gerekirse, VTech'in güvenlik operasyonlarını büyük ölçüde elden geçirdiği kanıtlanana kadar, web siteleri de dahil olmak üzere ürünlerini kullanmayın.
Gelecekte, ağa bağlı herhangi bir çocuk oyuncağı satın almadan önce, hızlı bir "[ürün adı / şirket adı] + güvenlik" araması yapmak akıllıca olur, yoksa deneyebilirsiniz “[Ürün adı / şirket adı] + hack / veri ihlali.” Bu kombinasyonlardan herhangi biri, teslim etmek istediğiniz ürünün güvenlik sağlığını hızlı bir şekilde gösterecektir senin çocuğun.
Güvenlik ihlalleri olacak Otelde Kalırken Kişisel Verileriniz İçin 3 RiskBir otelde kalmak veri güvenliğiniz için tehlikeli olabilir. Bir sonraki seyahatinizin kimlik hırsızlığı kabusuna dönüşmesini istemiyorsanız, aklınızda bulundurmanız gereken bazı şeyler var. Daha fazla oku . Çok sayısallaştırılmış bir dünyada yaşıyoruz, hassas bilgileri paylaşma Kişisel Verilerinizin Güvende Kalmasını Sağlamanın Beş YoluVerileriniz sensin. Çektiğiniz fotoğraflardan oluşan bir koleksiyon, geliştirdiğiniz görüntüler, yazdığınız raporlar, düşündüğünüz hikayeler veya topladığınız veya bestelediğiniz müzik olsun, bir hikaye anlatır. Onu koru. Daha fazla oku çok sayıda sitede. Ancak, kendimizi ateş hattına atmak İnternet Şubesi Güvenli mi? Çoğunlukla, Ama İşte Bilmeniz Gereken 5 Riskİnternet bankacılığıyla ilgili sevilecek çok şey var. Uygun, hayatınızı basitleştirebilir, hatta daha iyi tasarruf oranları elde edebilirsiniz. Ancak çevrimiçi bankacılık olması gerektiği kadar güvenli mi? Daha fazla oku ve eşit olarak, beklemek hakkımız var. saygı modemi 2014'te Bilmeniz Gereken 3 Çevrimiçi Sahtekarlık Önleme İpuçları Daha fazla oku kişisel verilerimizin gizliliğine - bırakın çocuklarımızın verilerinin.
VTech ihlalinden etkileniyor mu? Yoksa ağ ve bilgi güvenliği dünyasında bir oyuncak yapımcısıyla sempati duyabilir misiniz? Aşağıda bize bildirin!
Resim Kredileri:Hacker Adam tanberin aracılığıyla Shutterstock
Gavin, MUO'nun kıdemli yazarıdır. Ayrıca MakeUseOf'un kripto odaklı kardeş sitesi Blocks Decoded için Editör ve SEO Yöneticisi. Devon'un tepelerinden ve on yıllık profesyonel yazma deneyiminden yağmalanan Dijital Sanat Uygulamaları ile BA (Hons) Çağdaş Yazısı var. Bol miktarda çay içiyor.