Michael Fisher
0 
2173
267
Ha sido un momento tumultuoso para los proveedores de productos de aprendizaje electrónico para niños, VTech. La compañía con sede en Hong Kong anunció planes de adquisición para el competidor del mercado directo. Pídola por $ 72 millones, expandiendo drásticamente su participación de mercado y posicionándose como uno de los principales desarrolladores y proveedores de productos de aprendizaje electrónico para niños. Desafortunadamente, la semana no continuó según lo planeado.
VTech actualizó sus términos y condiciones luego de un gran ataque en 2015, transfiriendo descaradamente la responsabilidad de los padres y cuidadores sin pensarlo dos veces..
¿Qué han cambiado? ¿Qué han asegurado? Que deberias estar haciendo?
Lo que sucedió con VTech?
VTech fue pirateado en noviembre pasado VTech es pirateado, Apple odia las tomas de auriculares ... [Tech News Digest] VTech es pirateado, Apple odia las tomas de auriculares ... [Tech News Digest] Los hackers exponen a los usuarios de VTech, Apple considera quitar el conector de auriculares, las luces de Navidad pueden disminuir con tu Wi-Fi, Snapchat se mete en la cama con (RED) y recuerda The Star Wars Holiday Special. , el atacante se las arregló con los datos de más de 4 millones de cuentas para adultos y más de 6 millones de cuentas para niños. El hackeo expuso los datos personales Cinco maneras de garantizar que sus datos personales permanezcan seguros Cinco maneras de garantizar que sus datos personales permanezcan seguros Sus datos son usted. Ya sea una colección de fotografías que tomó, imágenes que desarrolló, informes que escribió, historias que pensó o música que recopiló o compuso, cuenta una historia. Protegerlo. de cada cuenta comprometida, incluidos nombres, direcciones de correo electrónico, contraseñas, preguntas y respuestas secretas, direcciones IP, direcciones postales e historiales de descargas. Además de esto, la base de datos de la tienda de aplicaciones de VTech, Learning Lodge, también se vio comprometida.
A partir de aquí, se comprometieron los datos, incluidos los registros de chat, los archivos de audio personales y las fotografías, muchos de los cuales pertenecen directamente a los niños que usan los dispositivos..
Vulnerabilidades
El truco fue expuesto inicialmente por Lorenzo Bicchierai, escribiendo para la revista Vice centrada en la tecnología. tarjeta madre publicación. Después de que se publicó el artículo inicial, Bicchierai fue contactado por la persona que afirmaba haber realizado el hack, que le proporcionó fotografías sensibles al periodista para su verificación..
Bicchierai luego invitó al especialista en seguridad de la información Troy Hunt a analizar los datos proporcionados para confirmar si la filtración era legítima, en lugar de un engaño. En la confirmación, Hunt diseccionó aún más los datos y los detalles publicados de las vulnerabilidades que afectan a VTech. Las vulnerabilidades, como descubrió Hunt, eran atroces.
Los defectos de referencia de objetos significaban que los usuarios podían acceder fácilmente a las cuentas de otros al recorrer las URL, todo el sistema host era extremadamente sensible a cualquier forma de inyección SQL, y había:
“No hay SSL en ninguna parte ... Todas las comunicaciones se realizan a través de conexiones sin cifrar, incluso cuando se transmiten contraseñas, detalles de los padres e información confidencial sobre los niños..”
También encontró contraseñas. “encriptado” con un simple hash MD5, sin sal, o incluso la vista de un algoritmo de hash avanzado, lo que significa que cualquier persona con habilidades informáticas incluso ligeramente avanzadas probablemente los descifrará en un corto espacio de tiempo.
Además de esto, las preguntas y respuestas secretas se almacenaron en texto plano, sin medidas de seguridad adicionales. Hunt también señaló la mala calidad de las preguntas de seguridad, como “Cuál es tu color favorito?” o “Donde naciste?” y otra información igualmente fácil de descubrir.
Usuarios infantiles
Una vez que un padre ha creado su cuenta de adulto, se pueden crear cuentas de niño. Cada cuenta de niño está directamente vinculada a la cuenta de adulto, y pueden agregar su propio avatar, fecha de nacimiento y género..
Los datos se almacenan en una tabla de autorreferencia utilizando un “Identificación de los padres” para vincular ambas cuentas juntas, así:
Lo que significa que con los datos adicionales asegurados en la violación, todos y cada uno de los niños podrían ser simplemente emparejados con sus padres, revelando sus direcciones junto con una gran cantidad de otra información personal..
Cambiar los términos y condiciones
Como a menudo nos enfrentamos a largos acuerdos de usuario, declaraciones de privacidad, cambios en los términos y condiciones de sitios web, juegos, servicios y más, todos nos hemos vuelto un poco descortés con el lenguaje utilizado. No puedo contar la cantidad de términos y condiciones en los que he hecho clic, y me pregunto si en algún momento firmé mi alma.
Pensaría que la respuesta estándar a una violación de datos importante Por qué las compañías que mantienen un secreto en secreto podría ser algo bueno Por qué las compañías que mantienen un secreto en secreto podrían ser algo bueno Con tanta información en línea, todos nos preocupamos por posibles violaciones de seguridad. Pero estas infracciones podrían mantenerse en secreto en los EE. UU. Para protegerlo. Suena loco, entonces, ¿qué está pasando? es una investigación sólida sobre todas y cada una de las deficiencias de seguridad, quizás agradeciendo el trabajo ya realizado por profesionales de seguridad de la información que intentan proteger datos confidenciales relacionados con los niños.
No para VTech.
En cambio, actualizaron sus términos y condiciones con una terminología claramente desagradable. En una sección titulada Limitación de responsabilidad, términos leídos:
“Usted reconoce y acepta que cualquier información que envíe o reciba durante su uso del sitio puede no ser segura y puede ser interceptada o posteriormente adquirida por terceros no autorizados.”
Lo siento. ¿Qué? ¿El usuario acepta no enojarse o responsabilizar a la empresa si son pirateados nuevamente? En 2016, cómo cualquier empresa que promocione cualquier forma de dispositivo en red de manera responsable puede trasladar la carga de la responsabilidad a sus usuarios en un escenario en el que están buscando activamente información confidencial..
Absuelto?
De ninguna manera. Incluso antes de sus travesuras basadas en términos y condiciones, la Oficina del Comisionado de Información del Reino Unido estaba investigando la violación de datos. con múltiples jurisdicciones estatales de EE. UU. Del mismo modo, inmediatamente después de la violación, el Comisionado de Privacidad de Hong Kong, Stephen Wong, confirmó que su oficina había iniciado un “control de conformidad” en VTech para evaluar si la empresa se ha adherido a los principios básicos de seguridad.
Mientras escribía este artículo, la Oficina de Comisionados de Información del Reino Unido confirmó que los nuevos términos y condiciones contravendrían la ley actual del Reino Unido, declarando:
“La ley aclara que son las organizaciones que manejan los datos personales de las personas las responsables de mantener esos datos seguros.”
Que debe hacer?
Honestamente, hasta que se haya comprobado que VTech ha revisado sustancialmente su operación de seguridad, no use sus productos, incluido su sitio web.
En el futuro, antes de comprar cualquier juguete infantil en red, sería prudente ejecutar un rápido “[nombre del producto / nombre de la compañía] + seguridad” buscar, o podrías intentar “[nombre del producto / nombre de la compañía] + pirateo / violación de datos.” Cualquiera de esas combinaciones ilustrará rápidamente el bienestar de seguridad del producto que le va a entregar a su hijo..
Se producirán infracciones de seguridad 3 riesgos para sus datos personales al alojarse en un hotel 3 riesgos para sus datos personales al alojarse en un hotel Alojarse en un hotel puede resultar peligroso para la seguridad de sus datos. Si no desea que su próximo viaje se convierta en una pesadilla de robo de identidad, aquí hay algunas cosas a tener en cuenta. . Vivimos en un mundo masivamente digitalizado, compartiendo información confidencial Cinco maneras de garantizar que sus datos personales permanezcan seguros Cinco maneras de garantizar que sus datos personales permanezcan seguros Sus datos son usted. Ya sea una colección de fotografías que tomó, imágenes que desarrolló, informes que escribió, historias que pensó o música que recopiló o compuso, cuenta una historia. Protegerlo. a través de una gran cantidad de sitios. Sin embargo, no tenemos que lanzarnos a la línea de fuego. ¿Es segura la banca en línea? Principalmente, pero aquí hay 5 riesgos que debe conocer ¿Es segura la banca en línea? Principalmente, pero aquí hay 5 riesgos que debe conocer Hay mucho que le gusta de la banca en línea. Es conveniente, puede simplificar su vida, incluso puede obtener mejores tasas de ahorro. ¿Pero es la banca en línea tan segura como debería ser? e igualmente, tenemos derecho a esperar un mínimo de respeto. 3 Consejos de prevención de fraude en línea que debe conocer en 2014 3 Consejos de prevención de fraude en línea que debe conocer En 2014 a la privacidad de nuestros datos personales, y mucho menos a la de nuestros niños.
Afectado por la violación de VTech? ¿O puede simpatizar con un fabricante de juguetes en el mundo de las redes y la seguridad de la información? Háganos saber a continuación!
Créditos de imagen: Hacker Man por tanberin a través de Shutterstock