ΠαÏ?αμÏ?θι χωÏ?ίς όνομα (Tale Without Name)
Η παραβίαση δεδομένων του κατασκευαστή παιχνιδιών VTech του Χονγκ Κονγκ φαίνεται να περιλαμβάνει φωτογραφίες των παιδιών και των γονέων, να είναι μια από τις πιο εκπληκτικές διαρροές της χρονιάς.
Η VTech, η οποία κάνει ασύρματα τηλέφωνα και ό, τι λέει ηλεκτρονικές συσκευές μάθησης για παιδιά, ζήτησε συγνώμη στο Twitter τη Δευτέρα. Η εταιρεία δήλωσε ότι έχει αναστείλει τη σχετική υπηρεσία, που ονομάζεται Learning Lodge, και ενημερώνει τους πελάτες.
Η τεχνική ειδησεογραφική περιοχή του Vice, η οποία ανέφερε για πρώτη φορά την παραβίαση, δήλωσε τη Δευτέρα ότι η παραβίαση περιείχε χιλιάδες φωτογραφίες γονέων και παιδιών
Η παράβαση επηρέασε μια βάση δεδομένων για το κατάστημα εφαρμογών της Learning VTech's Learning Lodge online υπηρεσία που συνδέεται με πολλές από τις συσκευές της εταιρείας. Η VTech είπε ότι η βάση δεδομένων είχε πρόσβαση στις 14 Νοεμβρίου.
Τα συμβιβασμένα δεδομένα περιλαμβάνουν 4,8 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου πελατών, ονόματα και κωδικούς πρόσβασης με μειωμένη μνήμη των εγγεγραμμένων ενηλίκων χρηστών. Περιλαμβάνει επίσης το φύλο, το όνομα και τις ημερομηνίες γέννησης περισσότερων από 200.000 παιδιών.
Τα δεδομένα πελατών προέρχονταν από χρήστες στις ΗΠΑ, τον Καναδά, το Ηνωμένο Βασίλειο, την Ιρλανδία, τη Γαλλία, τη Γερμανία, την Ισπανία, το Βέλγιο, τις Κάτω Χώρες, , Το Χονγκ Κονγκ, την Κίνα, την Αυστραλία, τη Νέα Ζηλανδία και τη Λατινική Αμερική, ανέφερε η VTech σε μια συχνή ερώτηση.
Τα δεδομένα διαβιβάστηκαν στη μητρική πλακέτα από τον χάκερ, ανέφερε η δημοσίευση. Η μητρική πληροφόρησε ότι τα δεδομένα ελήφθησαν με ευπάθεια σε εγχύσεις SQL
Ένα ελάττωμα ένεσης SQL, ένα από τα πιο συνηθισμένα είδη προβλημάτων με ιστότοπους, μπορεί να επιτρέψει σε έναν χάκερ να εισάγει εντολές σε μορφή Web και να αποκτήσει το back- end of the database to respond
Ορισμένα από τα δεδομένα VTech ψηφίστηκαν από την Motherboard στον Troy Hunt, έναν εμπειρογνώμονα ασφαλείας της Αυστραλίας που μελετά τις παραβιάσεις δεδομένων και τρέχει μια υπηρεσία ειδοποίησης που ονομάζεται Έχω βρεθεί Pwned. επικοινωνώντας με άτομα που είχαν εγγραφεί για την υπηρεσία του, η οποία ειδοποιεί τους ανθρώπους αν οι διευθύνσεις ηλεκτρονικού ταχυδρομείου τους εμφανίζονται σε μια νέα παραβίαση δεδομένων.
Σε μια μακρά αναρτήση ιστολογίου το Σάββατο, η έρευνα του Hunt σχετικά με την Learning Lodge της VTech και τις συναφείς υπηρεσίες online
Οι υπηρεσίες καταχώρησης λογαριασμού του VTech δεν χρησιμοποιούν το SSL / TLS (Secure Sockets Layer / Transport Layer Security), το οποίο κρυπτογραφεί τα δεδομένα που στέλνονται μεταξύ του υπολογιστή ενός χρήστη και μιας υπηρεσίας, γράφει ο Hunt. Θεωρείται ένας υψηλός κίνδυνος να μην ενεργοποιηθεί το SSL / TLS, ιδιαίτερα κατά την εγγραφή λογαριασμών με προσωπικές πληροφορίες και κωδικούς πρόσβασης.
Troy Hunt
. κρυπτογραφημένο. Το Hunt βρήκε VTech αποθηκευμένο password hashes, οι οποίοι είναι κρυπτογραφικές αναπαραστάσεις κωδικών που έχουν μετατραπεί σε αλγόριθμο.
Όμως, η VTech χρησιμοποίησε έναν αλγόριθμο γνωστό ως MD5, ο οποίος θεωρείται πολύ ασθενής. Η μετατροπή αυτών των hashes στους αρχικούς τους κωδικούς πρόσβασης είναι δυνατή χρησιμοποιώντας εργαλεία αποκωδικοποίησης και ισχυρούς επεξεργαστές γραφικών.
εύκολο να ταιριάζει με τους καταχωρημένους λογαριασμούς των γονέων με τα εγγεγραμμένα παιδιά τους. Οι ατέλειες είναι θεμελιώδεις και η σύσταση που έχω μεταβιβάσει είναι να το πάρει εκτός σύνδεσης μέχρι να μπορέσουν να το διορθώσουν σωστά ", γράφει ο Χαντ. «Δεν μπορείτε απλώς να παίρνετε πιθανότητες με τα δεδομένα άλλων ανθρώπων με αυτόν τον τρόπο, ειδικά όχι όταν είναι παιδιά».
Ο Chris Eng, αντιπρόεδρος της ερευνητικής ασφάλειας στη Veracode, δήλωσε ότι ορισμένες εταιρείες τεχνολογίας των καταναλωτών δεν θεωρούν την ασφάλεια ως ένα βασικό μέρος της κύριας δραστηριότητάς τους και "πληρώνουν την τιμή γι 'αυτό."
"Η VTech είναι μια εταιρεία παιχνιδιών", δήλωσε ο Eng. "Οι κατασκευαστές παιχνιδιών δεν έχουν την αυστηρότητα γύρω από την ασφαλή ανάπτυξη που χρειάζεται στο σημερινό περιβάλλον και αναπόφευκτα θα υποφέρουν από την ασφάλεια."
Παραβίαση δεδομένων κατασκευαστή παιχνιδιών VTech διαρρεύσει φωτογραφίες παιδιών, γονέων
Η παραβίαση δεδομένων του κατασκευαστή παιχνιδιών VTech που βασίζεται στο Χονγκ Κονγκ φαίνεται έχουν συμπεριλάβει και φωτογραφίες παιδιών και γονέων, προσθέτοντας ότι θα μπορούσε να είναι μια από τις χειρότερες διαρροές του έτους.
Η δημοφιλής τοποθεσία παιχνιδιών PC παιχνιδιών Nexus Mods φαίνεται να υποφέρει από παραβίαση ασφαλείας το Σαββατοκύριακο, αλλά δεν είναι τόσο κακή όσο φαινόταν για πρώτη φορά. Ο Robin Scott δήλωσε ότι δεν περιέχει λεπτομέρειες σύνδεσης από τις 22 Ιουλίου 2013. Ο Scott πιστεύει ότι πρόκειται για μια "παλιά" χωματερή και από τότε η Nexus Mods έχει αλλάξει σε ένα πιο ασφαλές σύστημα βάσεων δεδομένων. Ωστόσο, όσοι έχουν εγγραφεί στο Nexus Mods πριν από τον Ιούλιο του 2013 και δεν έχουν αλλ
Η Scott ειδοποίησε πρώτα τους χρήστες για την παραβίαση την Κυριακή. αναφέρθηκε στην Reddit, αναφέροντας μια επιχείρηση που βοηθά στην ασφάλεια για πολλά πανεπιστήμια των ΗΠΑ. Γύρω από αυτό το χρονικό διάστημα, μερικοί
