ACTUALIZADO 9:15 a.m. y 4 p.m. EST martes, dic. 1 con información adicional.

Otro día, otra base de datos de clientes comprometida. Esta vez, un atacante atacó una base de datos de información de clientes que pertenece a la empresa de tecnología para niños con sede en Hong Kong VTech.

Imagen: VTech / YouTube
Imagen: VTech / YouTube

Información relacionada con los padres y sus hijos, incluidos los nombres completos de los padres, direcciones de correo electrónico y direcciones físicas, y los nombres y las fechas de nacimiento de los niños - aparentemente fue robado, aunque VTech no ha atribuido este robo a ninguna persona específica o personas.

Investigador de seguridad australiano Troy Hunt encontró que la base de datos de VTech contenía 4,8 millones de cuentas de clientes únicas y 227,622 registros de cuentas de niños, ambos relacionados con la tienda de aplicaciones Learning Lodge de VTech.

MÁS: 7 maneras fáciles de conseguir que le roben su identidad

Más significativamente, Hunt explicó que la mayoría de las contraseñas de los usuarios estaban encriptadas con el algoritmo MD5 muy débil, sin "sales" que las harían más difíciles de descifrar. Muchos programas de software gratuitos pueden descifrar contraseñas MD5 sin sal, e incluso puede probarlo usted mismo

aquí. Hunt dijo que la base de datos también contenía respuestas a preguntas de seguridad de cambio de contraseña, que se almacenaron sin ningún tipo de cifrado.

Los apellidos y las direcciones de los niños no formaban parte de los datos robados, pero cada niño estaba vinculado a la cuenta de un padre. Si un niño comparte apellido y dirección física con uno de los padres, el niño corre un mayor riesgo de el robo de identidad, ya que el nombre completo, la fecha de nacimiento y la dirección postal suelen ser suficientes para abrir un fraudulento cuenta.

De acuerdo a VTech, el ataque ocurrió Nov. 14, pero que la empresa solo descubrió el ataque cuando "un periodista canadiense", presumiblemente Lorenzo Franceschi-Biccherai, un periodista italiano que trabaja en Nueva York para el sitio web de noticias tecnológicas VICE Motherboard (anteriormente canadiense), y que dio a conocer la historia, preguntó sobre la violación el 11 de noviembre. 23.

Franceschi-Biccherai informó que VTech fue golpeado por un simple ataque de inyección SQL, un método común para violar bases de datos en línea que incluso el adolescente de al lado probablemente podría lograr. VTech dijo que informó a los clientes sobre el ataque. 27, pero afirmó que la información de la tarjeta de crédito del usuario estaba segura, ya que las compras se realizan a través de un socio externo seguro fuera del sitio.

Qué hacer

Si usted es un padre con una cuenta de Learning Lodge, debe verificar la ¿Me han engañado? sitio web, que recopila información de violaciones de datos y ahora incluye cuentas de clientes robadas de VTech.

Si tiene una cuenta de Learning Lodge, debe cambiar su contraseña de inmediato y también cambiar la contraseña en cualquier otra cuenta en línea para la que utilizó la misma contraseña. Si bien no recomendamos a los usuarios que reutilicen contraseñas en diferentes cuentas, este es un buen momento para que los usuarios de VTech asegúrese de que las contraseñas de su cuenta de Learning Lodge no sean las mismas que las que utilizan para iniciar sesión en sus otras cuentas.

Además, dado que también se robaron las respuestas a las preguntas de seguridad, los usuarios de VTech ya no deberían volver a usar esas respuestas para las preguntas de seguridad. En su lugar, le sugerimos que utilice respuestas incorrectas a preguntas como "¿Quién fue su maestro favorito?" y mantenga un registro de estas respuestas en un administrador de contraseñas o un cuaderno.

La única buena noticia posible aquí es que el supuesto pirata informático le dijo a Franceschi-Biccherai que no tenía intención de vender o distribuir la información robada. Pero solo tenemos la palabra del hacker para eso.

ACTUALIZACIÓN 9:15 a.m. Martes: El hacker anónimo que robó los datos de VTech dijo Placa madre VICE en una historia publicada el lunes (nov. 30) que los datos también contenían "miles de fotografías de padres e hijos y un año de registros de chat" y algunos archivos de audio. Los nuevos archivos estaban relacionados con Kid Connect, una aplicación móvil de VTech para iOS y Android que permite a los padres comunicarse con los niños que usan dispositivos VTech.

El pirata informático le dijo a Motherboard que descargó 190 GB de imágenes, en su mayoría fotografías de padres e hijos. Compartió casi 4.000 de las imágenes con Motherboard.

"Francamente, me enferma haber podido conseguir todas estas cosas", dijo el hacker a Lorenzo Franceschi-Biccherai de Motherboard. "VTech debería hacer que les arrojen el libro".

ACTUALIZACIÓN 4 p.m. EST martes: VTech ha actualizado sus preguntas frecuentes sobre la violación de datos con la noticia de que los perfiles de 6,4 millones de niños, incluidos el nombre (pero no el apellido), la fecha de nacimiento y el género, se vieron comprometidos. Los perfiles de los niños estaban vinculados a los 4,8 millones de cuentas de los padres.

Aproximadamente 2,2 millones de cuentas de padres y 2,9 millones de perfiles de niños eran de Estados Unidos; 238.000 cuentas y 316.000 perfiles secundarios pertenecían a usuarios canadienses. Otros países con un gran número de cuentas y perfiles comprometidos fueron Francia, Reino Unido y Alemania.

VTech ha asignado direcciones de correo electrónico dedicadas en diferentes países a los que los clientes interesados ​​pueden dirigir sus consultas. Los clientes estadounidenses pueden enviar correos electrónicos [email protected]; Los clientes canadienses deben contactar [email protected].

La empresa no confirmó que las imágenes y las conversaciones entre padres e hijos se hayan visto comprometidas, como se informó. anteriormente, pero señaló que las imágenes y los archivos de audio fueron "cifrados por AES128", refiriéndose a un cifrado común algoritmo. El informe de Motherboard no mencionó ninguna dificultad para ver las imágenes o escuchar archivos de audio.

"Lamentablemente, nuestra base de datos no era tan segura como debería haber sido", afirma ahora la actualización de las preguntas frecuentes de la empresa.

  • Guía de seguridad móvil: todo lo que necesita saber
  • La mejor (y peor) protección contra robo de identidad
  • Qué hacer después de una violación de datos

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.