Reklāma
Bērnu elektronisko mācību produktu piegādātājiem VTech ir bijis grūts laiks. Honkongas uzņēmums paziņoja par tiešā tirgus konkurenta iegādes plāniem LeapFrog par 72 miljoniem dolāru, krasi paplašinot savu tirgus daļu un sevi pozicionējot kā vienu no galvenajiem bērnu elektronisko mācību produktu izstrādātājiem un piegādātājiem. Diemžēl nedēļa neturpinājās kā plānots.
VTech atjaunināja viņu noteikumus un nosacījumus pēc liela hakera 2015. gadā, acīmredzami nododot atbildības pienākumus vecākiem un aprūpētājiem, bez otrām domām.
Ko viņi ir mainījuši? Ko viņi ir nodrošinājuši? Ko jums vajadzētu darīt?
Kas notika ar VTech?
VTech tika uzlauzts pagājušā gada novembrī VTech kļūst ielauzts, Apple ienīst austiņu domkrati... [Tehnisko ziņu kopsavilkums]Hakeri pakļauj VTech lietotājus, Apple apsver iespēju noņemt austiņu ligzdu, Ziemassvētku gaismas var palēnināt jūsu Wi-Fi savienojumu, Snapchat nonāk gultā ar (RED) un atceroties The Star Wars Holiday Special. Lasīt vairāk , uzbrucējs izmanto datus no vairāk nekā 4 miljoniem pieaugušo kontu un vairāk nekā 6 miljoniem bērnu kontu. Kapāt
atklāja personas datus Pieci veidi, kā nodrošināt, ka jūsu personas dati joprojām ir drošiJūsu dati esat jūs. Neatkarīgi no tā, vai tā ir jūsu uzņemto fotogrāfiju kolekcija, jūsu izstrādātie attēli, uzrakstītie ziņojumi, pārdomātie stāsti vai savāktā vai komponētā mūzika, tas stāsta par stāstu. Aizsargājiet to. Lasīt vairāk katra apdraudētā konta, ieskaitot vārdus, e-pasta adreses, paroles, slepenus jautājumus un atbildes, IP adreses, pasta adreses un lejupielādes vēstures. Papildus tam tika apdraudēta arī VTech lietotņu veikala datu bāze - Learning Lodge.
Tālāk tika apdraudēti dati, tostarp tērzēšanas žurnāli, personālie audio faili un fotogrāfijas, no kuriem daudzi tieši pieder bērniem, kuri izmanto ierīces.
Ievainojamības
Hakeru sākotnēji atklāja Lorenco Bičeriji, rakstot vice-žurnāla tehnoloģijām Mātesplate publikācija. Pēc sākotnējā raksta publicēšanas ar Bičerī sazinājās persona, kura apgalvoja, ka veikusi uzlauzšanu, un žurnālistam sniedza sensitīvas fotogrāfijas pārbaudei.
Tad Bičerija uzaicināja informācijas drošības speciālistu Troju Huntu analizēt sniegtos datus, lai apstiprinātu, vai noplūde ir likumīga, nevis mānīšana. Pēc apstiprināšanas Medības turpināja sadalīt datus un publicēto informāciju par ievainojamībām, kas ietekmē VTech. Ievainojamības, kā atklāja Hunts, bija šausmīgas.
Objektu atsauces trūkumi nozīmēja, ka lietotāji varēja viegli piekļūt citu kontu kontiem, izmantojot URL, visa resursdatora sistēma bija ārkārtīgi jutīga pret jebkāda veida SQL ievadīšanu, un bija:
“Nekur nav SSL… Visi sakari notiek, izmantojot nešifrētus savienojumus, tostarp kad tiek pārsūtītas paroles, vecāku informācija un slepena informācija par bērniem.”
Viņš arī atrada paroles, kas “šifrētas” ar vienkāršu MD5 jaucējzīmi, bez sālīšanas un pat progresīvas sajaukšanas redzesloka algoritms, kas nozīmē, ka ikviens, kam ir pat nedaudz uzlabotas skaitļošanas prasmes, iespējams, saīsinās to īsā vietā laiks.
Turklāt slepenie jautājumi un atbildes tika glabāti vienkāršā tekstā, neparedzot papildu drošības pasākumus. Hunt arī atzīmēja drošības jautājumu slikto kvalitāti, piemēram, “Kāda ir jūsu iecienītākā krāsa?” vai “Kur tu esi dzimis?” un citu tikpat vienkārši atklājamu informāciju.
Bērnu lietotāji
Kad vecāks ir izveidojis savu pieaugušo kontu, var izveidot bērnu kontu. Katrs bērna konts ir tieši saistīts ar pieaugušo kontu, un viņi var pievienot savu iemiesojumu, dzimšanas datumu un dzimumu.
Pēc tam dati tiek saglabāti atsauces tabulā, izmantojot “parent_id”, lai savienotu abus kontus, piemēram:
Tas nozīmē, ka ar papildu datiem, kas tiek nodrošināti pārkāpumā, katru bērnu var vienkārši saskaņot ar savu vecāku, atklājot viņu adreses un citas personiskās informācijas krājumus.
Mainīt noteikumus un nosacījumus
Tā kā tik bieži mēs saskaramies ar ilgstošiem lietotāju līgumiem, paziņojumiem par privātumu, noteikumu izmaiņām vietņu, spēļu, pakalpojumu un daudz ko citu, mēs visi esam kļuvuši mazliet par valodas aizspriedumiem izmanto. Es absolūti nevaru saskaitīt T&C daudzumu, uz kuru esmu noklikšķinājis, un brīnīties, vai kādā brīdī es parakstīju savu dvēseli.
Jūs domājat standarta reakcija uz būtisku datu pārkāpumu Kāpēc uzņēmumiem, kas pārkāpumus noslēpumā, varētu būt laba lietaTā kā tiešsaistē ir tik daudz informācijas, mēs visi uztraucamies par iespējamiem drošības pārkāpumiem. Bet šos pārkāpumus ASV varētu turēt noslēpumā, lai jūs aizsargātu. Tas izklausās traki, tāpēc kas notiek? Lasīt vairāk ir rūpīga izmeklēšana par visiem drošības trūkumiem, iespējams, atzinīgi vērtējot jau paveikto kuru pabeiguši informācijas drošības speciālisti, kuri cenšas aizsargāt slepenus datus, kas saistīti ar bērni.
Nav paredzēts VTech.
Tā vietā viņi atjaunināja savus noteikumus un nosacījumus ar skaidri nepievilcīgu terminoloģiju. Sadaļā ar virsrakstu Atbildības ierobežošana, termini lasāmi:
"Jūs atzīstat un piekrītat, ka jebkura informācija, kuru jūs sūtāt vai saņemat vietnes lietošanas laikā, var nebūt droša un to var pārtvert vai vēlāk iegūt nepilnvarotas puses."
Man žēl. Kas? Lietotājs piekrīt nedusmoties vai neuzņemties atbildību par uzņēmumu, ja viņi atkal tiek uzlauzti? 2016. gadā tas, kā jebkurš uzņēmums atbildīgi reklamē jebkāda veida tīkla ierīces, var pārvietot slogu atbildība pret saviem lietotājiem situācijā, kad viņi aktīvi meklē sensitīvu informāciju aiz manis.
Absolūts?
Nevar būt. Pat pirms viņu noteikumiem un nosacījumiem balstītajiem shenaniganiem, Lielbritānijas Informācijas komisāra birojs bija datu pārkāpuma izmeklēšana Sekojiet līdzi jaunākajiem datu noplūdēm - ievērojiet šos 5 pakalpojumus un plūsmas Lasīt vairāk , kopā ar vairākas ASV štatu jurisdikcijas. Tāpat tūlīt pēc pārkāpuma Honkongas privātuma komisārs Stefans Vongs to apstiprināja birojs bija uzsācis “atbilstības pārbaudi” VTech, lai novērtētu, vai uzņēmums ir ievērojis pamata drošību principi.
Rakstot šo rakstu, Apvienotās Karalistes Informācijas komisāru birojs apstiprināja, ka jaunie noteikumi un nosacījumi būs pretrunā ar pašreizējiem Apvienotās Karalistes likumiem, norādot:
“Likums ir skaidrs, ka par šo datu drošību ir atbildīgas organizācijas, kas apstrādā cilvēku personas datus.”
Ko tev vajadzētu darīt?
Ja godīgi, kamēr nav pierādīts, ka VTech ir ievērojami pārveidojis savu drošības operāciju, neizmanto viņu produktus, ieskaitot viņu vietni.
Nākotnē pirms tīklā savienotu bērnu rotaļlietu iegādes būtu saprātīgi veikt ātru meklēšanu “[produkta nosaukums / uzņēmuma nosaukums] + drošība”, vai arī jūs varētu izmēģināt “[Produkta nosaukums / uzņēmuma nosaukums] + uzlauzšana / datu pārkāpums.” Jebkura no šīm kombinācijām ātri parādīs produkta labklājību, kuru jūs gatavojaties nodot Tavs bērns.
Notiks drošības pārkāpumi 3 Riski jūsu personīgajiem datiem, uzturoties viesnīcāUzturēšanās viesnīcā var izrādīties bīstama jūsu datu drošībai. Ja nevēlaties, lai jūsu nākamais ceļojums pārvērstos par identitātes zādzības murgu, šeit ir jāņem vērā dažas lietas. Lasīt vairāk . Mēs dzīvojam masveidā digitalizētā pasaulē, slepenas informācijas apmaiņa Pieci veidi, kā nodrošināt, ka jūsu personas dati joprojām ir drošiJūsu dati esat jūs. Neatkarīgi no tā, vai tā ir jūsu uzņemto fotogrāfiju kolekcija, jūsu izstrādātie attēli, uzrakstītie ziņojumi, pārdomātie stāsti vai savāktā vai komponētā mūzika, tas stāsta par stāstu. Aizsargājiet to. Lasīt vairāk milzīgā skaitā vietņu. Tomēr mums tas nav jādara iemest sevi šaušanas līnijā Vai internetbanka ir droša? Galvenokārt, bet šeit ir 5 riski, par kuriem jums vajadzētu zinātIr daudz kas, kas patīk internetbankai. Tas ir ērti, var vienkāršot jūsu dzīvi, iespējams, jūs pat iegūsit labākas uzkrājumu likmes. Bet vai tiešsaistes banku darbība ir tik droša, cik tai vajadzētu būt? Lasīt vairāk , un tāpat mums ir tiesības sagaidīt cieņas modicum 3 tiešsaistes krāpšanas novēršanas padomi, kas jums jāzina 2014. gadā Lasīt vairāk uz mūsu personas datu privātumu - nemaz nerunājot par mūsu bērnu datiem.
Vai ietekmē VTech pārkāpums? Vai arī jūs varat simpatizēt rotaļlietu ražotājam tīkla un informācijas drošības pasaulē? Paziņojiet mums tālāk!
Attēlu kredīti:Hakeru cilvēks Autors: Tanberin caur Shutterstock
Gavins ir MUO vecākais rakstnieks. Viņš ir arī MakeUseOf šifrētās māsas vietnes Blocks Decoded redaktors un SEO vadītājs. Viņam ir BA (Hons) mūsdienu rakstīšana ar digitālās mākslas praksi, kas izveidota no Devonas pakalniem, kā arī vairāk nekā desmit gadu profesionāla rakstīšanas pieredze. Viņš bauda lielu daudzumu tējas.
