Vtech: jugar suelto con los datos de sus hijos

Ha sido un tiempo tumultuoso para los proveedores de productos electrónicos de aprendizaje de los niños, VTech. La empresa con sede en Hong Kong ha anunciado planes de adquisición de la competencia en el mercado directo Pídola por $ 72 millones, ampliando drásticamente su cuota de mercado y posicionarse como uno de los principales desarrolladores y proveedores de productos electrónicos de aprendizaje en los niños. Por desgracia, la semana no continuó como estaba previsto.

VTech actualiza sus términos y condiciones siguientes un gran corte en 2015, evidentemente cambiando el peso de la responsabilidad a los padres y cuidadores sin pensarlo dos veces.

¿Qué han cambiado? ¿Qué han conseguido? ¿Qué debería estar haciendo?

¿Qué pasó con VTech?

VTech se cortó en noviembre pasado, el atacante hacer con los datos de más de 4 millones de cuentas de adultos, y más de 6 millones de cuentas niño. el truco expuestos los datos personales de cada cuenta comprometida incluyendo nombres, direcciones de correo electrónico, contraseñas, preguntas y respuestas secretas, direcciones IP, direcciones de correo, y las historias de descarga. Además de esto, la base de datos tienda de aplicaciones de VTech, aprendizaje Lodge, también se ha visto comprometida.VTech está pirateada, de Apple odia Tomas para auriculares ... [Tech News Digest]VTech está pirateada, de Apple odia Tomas para auriculares ... [Tech News Digest]Los hackers exponen a los usuarios VTech, Apple considera que la eliminación de la toma de auriculares, las luces de Navidad puede ralentizar su conexión Wi-Fi, Snapchat se mete en la cama con (RED), y recordando La guerra de las galaxias de fiesta especial.Lee mas

Desde aquí, los datos, incluyendo registros de chat, archivos de audio y fotografías personales se vieron comprometidas, muchas de ellas pertenecientes directamente a los niños que usan los dispositivos.

vulnerabilidades

El truco fue inicialmente expuesta por Lorenzo Bicchierai, escribiendo para la revista Vice-tecnología enfocada tarjeta madre publicación. Después de que el primer artículo fue publicado, Bicchierai puso en contacto con la persona que afirma haber realizado el corte, que proporcionó fotografías sensibles a la periodista para su verificación.

Vídeo: POR PRIMERA VEZ, 5 SECRETOS DE MALUMA.

Bicchierai invitó especialista en seguridad de la información Troy Hunt para analizar los datos proporcionados para confirmar si la fuga era legítimo, más que un engaño. Tras la confirmación, Hunt disecó los datos y publicó detalles de las vulnerabilidades que afectan a VTech. Las vulnerabilidades, como descubrió Hunt, eran atroces.

defectos de referencia de objetos destinados a los usuarios podían acceder fácilmente a las cuentas de otros por pasar a través de las direcciones URL, todo el sistema anfitrión era extremadamente sensible a cualquier forma de inyección de SQL, y no había:

“Sin SSL en cualquier lugar ... Todas las comunicaciones son a través de conexiones no cifradas entre ellos cuando las contraseñas, detalles de los padres y la información sensible acerca de los niños se transmite”.

Vídeo: Pesado - Tan Bonita (En Vivo) ft. Raúl Hernández

También encontró contraseñas “encriptados” con un simple hash MD5, sin salazón, o incluso la vista de un algoritmo de cálculo avanzado, es decir, cualquier persona con conocimientos informáticos avanzados incluso ligeramente probablemente a agrietarse en un corto espacio de tiempo.

Además de esto, las preguntas y respuestas secretas fueron almacenadas en texto plano, sin medidas de seguridad adicionales en absoluto. Caza también señaló la mala calidad de las preguntas de seguridad, tales como “¿Cuál es tu color favorito?” O “¿Dónde nació usted?” Y otros igualmente fácil de descubrir información.

Los usuarios niño

Una vez que un padre ha creado su cuenta para adultos, las cuentas infantiles se pueden crear. Cada cuenta infantil está directamente vinculada a la cuenta de adulto, y que pueden añadir su propio avatar, fecha de nacimiento y sexo.

Los datos se almacena en una tabla de referencia a sí misma usando un “parent_id” para vincular ambas cuentas en conjunto, así:

Lo que significa que con los datos adicionales asegurados en la brecha, cada niño podría ser simplemente adaptado a sus padres, revelar sus direcciones, junto con resmas de otra información personal.

El T cambiar&do

Como estamos tan a menudo confrontados con los acuerdos largo de usuarios, normas de privacidad, los cambios en los términos y condiciones de los sitios web, juegos, servicios y más, todos hemos vuelto un poco indiferente a la lengua utilizada. Absolutamente no puedo contar la cantidad de T&C he hecho clic a través, y se preguntan si en algún momento he firmado mi alma otra vez.

Uno pensaría que el respuesta estándar a una importante fuga de datos es una investigación sólida en cualquiera y todas las deficiencias de seguridad, tal vez la bienvenida al trabajo ya realizado por los profesionales de seguridad de la información que están tratando de proteger los datos sensibles relacionados con los niños.Por qué las empresas mantener un secreto infracciones Podría ser una buena cosaPor qué las empresas mantener un secreto infracciones Podría ser una buena cosaCon tanta información en línea, todos nos preocupamos por posibles violaciones de seguridad. Pero estas infracciones podrían ser mantenidos en secreto en los EE.UU. con el fin de protegerlo. Parece una locura, así que lo que está pasando?Lee mas

No por VTech.

En su lugar, se actualizan sus términos y condiciones con la terminología claramente indeseable. En una sección de encabezado Limitación de responsabilidad, leen términos:

“Usted reconoce y acepta que cualquier información que envía o recibe durante su uso del sitio pueden no ser seguros y pueden ser interceptadas o posteriormente adquirida por personas no autorizadas”

Lo siento. ¿Qué? El usuario acepta no estar enfadado o mantenga la empresa responsable si consiguen hackeado de nuevo? En 2016, la forma en cualquier empresa la promoción de cualquier tipo de dispositivo conectado en red con responsabilidad puede recaer la carga de responsabilidad a sus usuarios en un escenario en el que están buscando activamente la información sensible es más allá.

Absueltos?

De ninguna manera. Incluso antes de que sus términos y chanchullos basado en condiciones, la Oficina del Comisionado de Información del Reino Unido era la investigación de la violación de datos, junto con las múltiples jurisdicciones nacionales de Estados Unidos. Del mismo modo, en el período inmediatamente posterior al incumplimiento, el Comisionado de Privacidad de Hong Kong Stephen Wong confirmó que su oficina había iniciado un “cumplimiento” de VTech para evaluar si la empresa se ha adherido a los principios básicos de seguridad.Mantenerse al día con las últimas fugas de datos - Siga estos 5 Servicios & FeedsMantenerse al día con las últimas fugas de datos - Siga estos 5 Servicios & FeedsLee mas

Mientras escribía este artículo, la información Comisionados Oficina del Reino Unido confirmó que los nuevos términos y condiciones de constituir una infracción de la ley actual Reino Unido, indicando:

“La ley es claro que es el manejo de los datos personales de las personas que las organizaciones son responsables de mantener los datos seguros”

¿Qué debe hacer?

Honestamente, hasta VTech se ha demostrado que han revisado sustancialmente su operación de seguridad, no utilice sus productos, incluyendo su página web.

Vídeo: Perro suelto

En el futuro, antes de comprar un juguete para los niños en red, sería prudente para ejecutar un rápido “[Nombre del producto / nombre de la empresa] + seguridad” de búsqueda, o se puede tratar “[nombre del producto / nombre de la empresa] + piratear / violación de datos.” cualquiera de estas combinaciones se ilustran rápidamente la seguridad y bienestar del producto que está a punto de entregar a su hijo.

Las brechas de seguridad van a suceder. Vivimos en un mundo digitalizado masivamente, compartir información sensible a través de un gran número de sitios. Sin embargo, no tenemos a lanzarnos a la línea de fuego, e igualmente, nosotros tenemos el derecho de esperar un mínimo de respeto a la privacidad de nuestros datos personales - por no hablar de la de nuestros hijos.3 Riesgos a sus datos personales cuando se aloje en un hotel3 Riesgos a sus datos personales cuando se aloje en un hotelAlojarse en un hotel puede resultar peligroso para la seguridad de sus datos. Si no desea que su próximo viaje se convierta en una pesadilla de robo de identidad, aquí hay algunas cosas a tener en cuenta.Lee mas

Perjudicada por la violación de VTech? O se puede simpatizar con un fabricante de juguetes en el mundo de las redes y la seguridad de la información? Háganos saber de abajo!