Vernetzte Spielzeuge in Luxemburg: 5014 Profile von Kindern gehackt

shutterstock_173113490[1].jpg

Nach einem Datenleck der Firma VTECH für vernetzte Spielzeuge, haben sich BEE SECURE und die Nationale Kommission für den Datenschutz zusammengeschlossen, um Sie über die Folgen des Lecks zu informieren und Ihnen praktische Empfehlungen zu geben.

Die US-Webseite Vice.com hat über ihre Plattform Motherboard aufgedeckt, dass das Unternehmen für vernetzte Spielzeuge VTECH am 14. November 2015 gehackt wurde. Ein Angreifer hat Zugang auf die Inhalte der Systemdatenbank mit dem Namen Explor@Park / Learning Lodge erlangt. Dabei handelt es sich um eine Plattform, die es den Verbrauchern erlaubt, Inhalte für bestimmte VTECH-Spielzeuge herunterzuladen. Dadurch hat der Angreifer ebenfalls Zugriff auf die Daten des Dienstes "Kid Connect" erhalten. Der Angreifer nutzte eine Sicherheitslücke, indem er eine SQL-Abfrage injizierte. Es handelt sich dabei um eine Angriffsmethode, die darin besteht, bösartige Befehle in das Formular einer Website zu schleusen. Dabei wird die Seite sozusagen „getäuscht“ und legt weitere, in der Datenbank enthaltene Informationen offen.

VTECH hat in einer FAQ bestätigt, dass eine seiner Datenbanken nicht ausreichend gesichert und Gegenstand eines Lecks war.  

Die Folgen:

  • Es wurden 4.854.209 Profile von Eltern und 6.368.509 Profile von Kindern gemäß der offiziellen Mitteilung von VTECH entwendet.
  • Dies betrifft Profile von 5014 Kindern und 4190 Eltern im Großherzogtum Luxemburg.
  • Insgesamt handelt es sich um eine 190-Gigabyte-Datenbank, die sich in Luft aufgelöst hat.

Die Nationale Kommission für den Datenschutz (CNDP) wurde über den Hack informiert und untersucht derzeit die Situation.

Es war ein anonymer Angreifer, der den Journalisten von  Motherboard warnte, dass die Daten verfügbar waren, und dass er darauf hatte zugreifen können.

Offensichtlich könnten andere Hacker von den Sicherheitslücken der VTECH-Server profitiert haben und an diese Informationen gekommen sein.

Was ist gehackt worden?

VTECH Frankreich hat auf widersprüchliche Weise über die Art der gehackten Daten gesprochen. VTECH Frankreich hatte erklärt, dass keine persönliche Adresse gestohlen worden ist, obwohl Postanschriften tatsächlich von den VTECH-Server herausgezogen wurden.

Die Informationen des Eltern-Kontos

  • Name /  Vorname
  • Passwort
  • Sicherheitsfrage
  • Passworthinweis
  • Antwort auf die Sicherheitsfrage
  • IP-Adresse
  • E-Mail Adresse
  • Postanschrift
  • Download-Historie

Die Informationen des Kinder-Kontos

  • Name / Vorname
  • Benutzername
  • Name der Eltern des Kindes
  • Geschlecht
  • Geburtsdatum

Die Informationen von Kid Connect : die Multimedia-Dateien

  • Audiodateien
  • Protokoll der Chats
  • Die Videoclips

 

1448912640722512[1].jpg

Quelle: Motherboard: http://motherboard.vice.com/read/hacker-obtained-childrens-headshots-and-chatlogs-from-toymaker-vtech

 

BEE SECURE empfiehlt:

-        Kontaktieren Sie das Unternehmen: zögern Sie nicht VTECH zu fragen, welche Daten Sie betreffen. Die Liste der direkten Ansprechpartner finden Sie auf der FAQ-Seite von VTECH (Seite 5): Klicken Sie hier.

-        Ändern Sie Ihre Sicherheitsfrage und die zugehörige Antwort auf allen anderen Webseiten, auf denen Sie die gleichen oder ähnliche Kombinationen verwenden. Ganz allgemein, halten Sie sich an die bewährten Verfahren, um sichere Passwörter zu erstellen. Nutzen Sie nie das gleiche Passwort für unterschiedliche Dienste.

-        Gehen Sie nicht auf Erpressung ein:Wenn man versucht, Sie zu erpressen und einen Geldbetrag von Ihnen fordert, gehen Sie nicht darauf ein. Setzen Sie sich mit der Polizei in Verbindung. Um mehr über die Auswirkungen einer Datenpanne zu erfahren, lesen Sie unsere News: "Datenleck, alle sind betroffen".

-        Hüten Sie sich vor Phishing: man könnte Ihre persönlichen Daten dazu verwenden, Phishing-Kampagnen durchzuführen. Weitere Informationen: https://www.bee-secure.lu/fr/outils/glossaire/phishing.

Schließlich empfiehlt BEE SECURE, Ihr Kind im Internet nie unbeaufsichtigt zu lassen.

 

Was ist VTECH?

VTECH ist ein Unternehmen, das zu den weltweit führenden Herstellern von elektronischem Lernspielzeug gehört. Mit Kindern als Zielgruppe verkauft das Unternehmen vernetzte  Tablets, Uhren oder Mini-Kameras.

Diese vernetzten Objekte basieren auf einer Cloud, die nicht nur eine Download-Plattform bietet, sondern auch erweiterte Funktionen zum Teilen von Informationen wie Fotos und Videos.

Die Cloud-Lösung von VTECH heißt Explor@Park / Learning Lodge. Sie bietet Instant Messaging-Anwendungen, wie beispielsweise die Anwendung Kid Connect. So können Sie nicht nur über Textnachrichten, sondern auch über Sprachnachrichten, Videos oder Fotos kommunizieren. Diese Kommunikationen sowie alle ausgetauschten Daten fließen über die Cloud von VTECH.

Dieser Fall zeigt erneut wie wichtig es ist die „Allgemeinen Nutzungsbedingungen“ von Cloud-Diensten zu lesen
siehe "Nutzungsbedingungen" auf bee-secure.lu/de/tools/kampagnen/clever-cloud-user/themen/eula

Zögern Sie nicht, die BEE SECURE Helpline unter der Nummer 8002 1234 zu kontaktieren.