VTech ei suojannut rekisteröintiä, sortui sql-injektioon ja alasi vain heikosta - Tietoturva - Ilta-Sanomat

Leluyhtiö VTechin murtaja vei myös lasten kuvat ja keskustelut

Elektronisia leluja ja lasten oppimateriaaleja kauppaavan VTechin tietomurrossa vietiin tuhansittain lasten ja heidän vanhempiensa valokuvia ja tietokantaan tallennettuja keskustelujaan.

VTechin tuotteita myynnissä Hongkongissa. Yhtiön oppimislaitteilla voi muun muassa tallentaa keskusteluja, jotka ovat päätyneet hakkerille.­

1.12.2015 8:20 | Päivitetty 1.12.2015 8:20

Hongkongissa toimiva VTech tiedotti perjantaina ja edelleen maanantaina, että sen tietokantaan murtauduttiin 14. marraskuuta. Tietomurtajan Motherboard-lehdelle toimittaman aineiston mukaan Vtech menetti 4,8 miljoonan aikuisen ja 200 000 lapsen tiedot. Murtaja sanoi verkkojulkaisulle, ettei se aio tehdä mitään viemillään tiedoilla.

Tarkemman analyysin mukaan murtaja vei myös lasten valokuvia ja heidän oppimislaitteidensa tallentamia keskusteluja.

Hakkeroidut tiedot sisältävät vanhempien nimet, sähköpostiosoitteet, salasanat ja kotiosoitteet. Lisäksi tiedot kertoivat yli 200 000 lapsen etunimen, syntymäpäivän ja sukupuolen. Vuodon perusteella on mahdollista yhdistää lapset vanhempiinsa ja tätä kautta saada selville heidän henkilöytensä ja asuinpaikkansa.

Motherboardille kerrottiin, että tiedot viety on käyttämällä yleistä sql-injektiota, jossa tietokanta avautuu web-pohjaisilla lomakkeilla.

Tietoturvatutkija Troy Hunt analysoi Motherboardin hänelle toimittamaa materiaalia blogissaan.  Hänen mukaansa VTech oli suojannut tietonsa uskomattoman heikosti. Sen rekisteröinti ei käyttänyt edes ssl/tsl-salausta. VTech sanoi, että asiakkaiden salasanat oli salattu, mutta Hunt huomautti, että käytetty salausmenetelmä oli heikoksi tiedetty MD5. Sillä salatut tiedot voi purkaa käyttämällä tarjolla olevia työkaluja ja tehokasta grafiikkasuoritinta.

Hunt ylläpitää Have I Been Pwned -verkkopalvelua, jonka kautta ihmiset voivat tarkastaa löytyykö heidän tietojaan tietomurron kohteiksi joutuneista ja julkisuuteen vuodetuista tietokannoista.

VTech esitti maanantaina anteeksipyynnön Twitterissä. Se sanoi sulkeneensa Learning Lodge -palvelun ja tiedottaneensa murrosta asiakkaille.

VTechin leikkikaluilla ja oppimislaitteilla on maailmanlaajuinen käyttäjäkunta. Menetetyt tiedot koskivat asiakkaita Latinalainen Amerikassa ja seuraavissa maissa: Belgia, Britannia, Espanja, Hollanti, Irlanti, Luxemburg, Ranska, Saksa, Tanska, Hongkong, Kiina, Australia, Uusi Seelanti, Yhdysvallat ja Kanada.

Osion tuoreimmat

Luitko jo nämä?