VTech:あなたの子供のデータでゆるく遊ぶ
子供の電子学習製品サプライヤーであるVTechにとっては激動の時代でした。香港を拠点とする同社は、直接市場の競合企業である LeapFrogの買収計画を発表しました。 7,200万ドルで、市場シェアを大幅に拡大し、子供向け電子学習製品の主要な開発者およびサプライヤーの1つとしての地位を確立しています。残念ながら、その週は予定どおりに続きませんでした。
VTechは、2015年の大規模なハッキングに続いて利用規約を更新し、責任の責任を親と介護者に露骨に移しました。
彼らは何を変えましたか?彼らは何を確保しましたか?何をすべきですか?
VTechに何が起こったのですか?
昨年11月にVTechがハッキングされ、攻撃者は400万を超えるアダルトアカウントと600万を超える子供アカウントのデータを利用しました。このハッキングにより、名前、電子メールアドレス、パスワード、秘密の質問と回答、IPアドレス、メールアドレス、ダウンロード履歴など、侵害された各アカウントの個人データが公開されました。これに加えて、VTechのアプリストアデータベースであるLearningLodgeも侵害されました。
ここから、チャットログ、個人の音声ファイル、写真などのデータが危険にさらされ、その多くはデバイスを使用している子供たちに直接帰属します。
このハッキングは当初、Lorenzo Bicchieraiによって公開され、Vice誌のテクノロジーに焦点を当てたマザーボードのために執筆しました。 出版物。最初の記事が公開された後、ハッキングを実行したと主張する個人からBicchieraiに連絡があり、ジャーナリストに機密写真を提供して検証しました。
次に、Bicchieraiは、情報セキュリティのスペシャリストであるTroy Huntを招待して、提供されたデータを分析し、リークがデマではなく正当なものであるかどうかを確認しました。確認後、ハントはVTechに影響を与える脆弱性のデータと公開された詳細をさらに分析しました。ハントが発見した脆弱性はひどいものでした。
オブジェクト参照の欠陥は、ユーザーがURLをステップスルーすることで他のユーザーのアカウントに簡単にアクセスできることを意味し、ホストシステム全体があらゆる形式のSQLインジェクションに非常に敏感であり、次のようなものがありました。
「SSLはどこにもありません…パスワード、保護者の詳細、子供に関する機密情報が送信される場合を含め、すべての通信は暗号化されていない接続を介して行われます。」
彼はまた、ソルティングのない単純なMD5ハッシュで「暗号化」されたパスワード、または高度なハッシュアルゴリズムを見ることさえできなかったことを発見しました。つまり、わずかに高度なコンピューティングスキルを持っている人は、短時間でパスワードを解読する可能性があります。
これに加えて、秘密の質問と回答はプレーンテキストで保存され、追加のセキュリティ対策はまったくありませんでした。ハントはまた、「あなたの好きな色は何ですか?」などのセキュリティの質問の質の悪さを指摘しました。または「どこで生まれましたか?」およびその他の同様に簡単に発見できる情報。
親が大人のアカウントを作成すると、子のアカウントを作成できます。各子アカウントは大人アカウントに直接リンクされており、自分のアバター、生年月日、性別を追加できます。
次に、データは「parent_id」を使用して自己参照テーブルに格納され、次のように両方のアカウントをリンクします。
つまり、侵害で保護された追加データを使用すると、すべての子供を親と簡単に照合し、他の個人情報の連なりとともに住所を開示することができます。
T&Cを変更する
長いユーザー契約、プライバシーに関する声明、ウェブサイト、ゲーム、サービスなどの利用規約の変更に直面することがよくあるため、私たちは皆、使用されている言語に対して少し恥ずかしがり屋になっています。クリックしたT&Cの量を絶対に数えることはできず、ある時点で自分の魂に署名したのではないかと思います。
重大なデータ侵害への標準的な対応は、あらゆるセキュリティの欠点に対する強力な調査であり、おそらく子供に関連する機密データを保護しようとしている情報セキュリティの専門家によってすでに完了している作業を歓迎すると思います。
VTech用ではありません。
代わりに、彼らは明らかに不快な用語で利用規約を更新しました。 責任の制限という見出しのセクション 、用語を読む:
「お客様は、サイトの使用中に送受信する情報が安全でなく、傍受されたり、許可されていない第三者によって後で取得されたりする可能性があることを認め、同意するものとします。」
ごめんなさい。何?ユーザーは、彼らが再びハッキングされた場合、怒ったり、会社に責任を負わせたりしないことに同意しますか? 2016年に、あらゆる形態のネットワークデバイスを責任を持って宣伝する企業が、機密情報を積極的に探しているシナリオで、責任の負担をユーザーに移す方法は私にはありません。
解決しましたか?
とんでもない。契約条件に基づくシェナニガンの前でさえ、英国の情報コミッショナーオフィスは、複数の米国の州の管轄区域とともに、データ侵害を調査していました。同様に、違反の直後に、香港プライバシーコミッショナーのStephen Wongは、会社が基本的なセキュリティ原則を順守しているかどうかを評価するために、彼のオフィスがVTechの「コンプライアンスチェック」を開始したことを確認しました。
私がこの記事を書いているときに、英国情報委員会事務局は、新しい契約条件が現在の英国法に違反することを確認し、次のように述べています。
「法律は、データを安全に保つ責任があるのは人々の個人データを扱う組織であることを明確にしています」
何をすべきですか?
正直なところ、VTechがセキュリティ運用を大幅に見直したことが証明されるまで、Webサイトを含む製品を使用しないでください。
将来的には、ネットワーク化された子供のおもちゃを購入する前に、「[製品名/会社名] +セキュリティ」検索を実行するか、「[製品名/会社名]+ハック/データ侵害」を試すのが賢明です。これらの組み合わせはどれも、子供に渡そうとしている製品のセキュリティの健全性をすばやく示します。
セキュリティ違反が発生します。私たちは大規模にデジタル化された世界に住んでおり、膨大な数のサイト間で機密情報を共有しています。ただし、私たちは自分自身を発砲ラインに投げ込む必要はありません。同様に、私たちには、子供たちのプライバシーはもちろんのこと、個人データのプライバシーを少しでも尊重することを期待する権利があります。
VTech違反の影響を受けていますか?それとも、ネットワーキングと情報セキュリティの世界でおもちゃメーカーに共感できますか?以下にお知らせください!
-
これらのセキュリティ ソリューションで愛する人を守る
バレンタインデーは終わったかもしれませんが、それであなたの愛は終わりません。消費者の騒ぎの中で、私たちの特別なものにセキュリティを提供する方が賢明ではないでしょうか?結局のところ、彼らの幸福は私たちにとって最も重要ではないでしょうか?世界はデジタル化されているため、ますます深刻化するサイバー脅威や犯罪者から彼らを保護することは確かに素晴らしい考えです. セキュリティの専門家は、2022 年までにサイバー犯罪者の攻撃対象となる人間の数が 60 億人に達すると予測しています。現在、ハッカーはシリコンよりも血のにおいがするようになっています。したがって、大切な人がインターネットに接続している間、そ
-
オンライン ポータルでのデータの安全性 |データ侵害 Linkedin
ブログの要約 – データ侵害は、デジタル世界への依存によって私たちが直面している新しい時代の問題です。このブログでは、いずれかの Web サイトでオンライン アカウントを持っている場合に取るべき安全対策について説明します。 有名なオンライン ポータルでの別のデータ侵害は、オンラインで保存された個人情報がいかに脆弱であるかを示しています。 LinkedIn でのデータ侵害は、ほぼすべてのユーザーのデータが標的にされていると主張する大きな影響を与えています。ダークウェブの情報源が報告しているように、何百万人ものユーザーが暴露され、販売されているというデータがあります. 今回はLinked