GÜNCELLENMİŞ 9:15 ve 16:00 EST Salı, Aralık. 1 ek bilgi ile.

Başka bir gün, başka bir ele geçirilmiş müşteri veritabanı. Bu sefer bir saldırgan, Hong Kong merkezli teknoloji şirketi VTech'e ait bir müşteri bilgi veritabanını vurdu.

Resim: VTech / YouTube
Resim: VTech / YouTube

Hem ebeveynlere hem de çocuklarına ilişkin bilgiler - ebeveynlerin tam adları, e-posta adresleri ve fiziksel adresleri dahil ve çocukların ilk isimleri ve doğum tarihleri ​​- VTech bu hırsızlığı herhangi bir kişiye veya kişiler.

Avustralyalı güvenlik araştırmacısı Troy Avı VTech veritabanının, her ikisi de VTech'in Learning Lodge uygulama mağazasıyla ilgili 4.8 milyon benzersiz müşteri hesabı ve 227.622 çocuk hesap kaydı içerdiğini buldu.

DAHA: Kimliğinizi Çaldırmanın 7 Kolay Yolu

Daha da önemlisi, Hunt, kullanıcı parolalarının çoğunun, kırılmasını zorlaştıracak "tuzlar" olmadan çok zayıf MD5 algoritmasıyla şifrelenmiş olduğunu açıkladı. Birçok ücretsiz yazılım programı tuzsuz MD5 şifrelerini kırabilir ve hatta kendiniz deneyebilirsiniz. buraya

. Hunt, veritabanının herhangi bir şifreleme olmadan saklanan şifre değiştirme güvenlik sorularına da cevaplar içerdiğini söyledi.

Çocukların soyadları ve adresleri çalınan verilerin bir parçası değildi, ancak her çocuk bir ebeveynin hesabına bağlandı. Bir çocuk ebeveyniyle aynı soyadını ve fiziksel adresini paylaşırsa, çocuk daha yüksek risk altındadır. Tam ad, doğum tarihi ve posta adresi olarak kimlik hırsızlığı genellikle bir sahtekarlığı açmak için yeterlidir. hesabı.

Göre VTech, saldırı Kasım. 14, ancak şirket saldırıyı yalnızca "Kanadalı bir gazeteci" olduğunda fark etti - muhtemelen Lorenzo Franceschi-BiccheraiNew York'ta (eski adıyla Kanadalı) VICE Motherboard teknoloji haberleri web sitesinde çalışan ve hikayeyi bozan İtalyan bir gazeteci - ihlal hakkında bilgi aldı. 23.

Franceschi-Biccherai, VTech'in basit bir SQL enjeksiyon saldırısıyla vurulduğunu bildirdi; bu, yandaki gencin bile muhtemelen çekebileceği çevrimiçi veritabanlarını ihlal etmenin yaygın bir yöntemi. VTech, müşterileri Kasım ayında saldırı hakkında bilgilendirdiğini söyledi. 27, ancak kullanıcı kredi kartı bilgileri güvenliydi, çünkü satın alımlar güvenli bir site dışı üçüncü şahıs ortak aracılığıyla yapıldı.

Ne yapalım

Learning Lodge hesabına sahip bir ebeveynseniz, Hunt's Pwned oldum mu? veri ihlallerinden bilgi toplayan ve şimdi VTech'ten çalınan müşteri hesaplarını içeren web sitesi.

Bir Learning Lodge hesabınız varsa, şifrenizi hemen değiştirmeli ve aynı şifreyi kullandığınız diğer tüm çevrimiçi hesapların şifresini de değiştirmelisiniz. Kullanıcıların farklı hesaplarda şifreleri yeniden kullanmasını önermesek de, bu VTech kullanıcılarının Learning Lodge hesap şifrelerinin diğer çevrimiçi girişlerinde kullandıklarıyla aynı olmadığından emin olun hesaplar.

Ek olarak, güvenlik sorularının cevapları da çalındığı için, VTech kullanıcıları artık bu cevapları güvenlik soruları için kullanmamalıdır. Bunun yerine, "En sevdiğiniz öğretmenin kimdi?" Gibi sorulara yanlış yanıtlar kullanmanızı öneririz. ve bu yanıtları bir parola yöneticisinde veya not defterinde takip edin.

Buradaki olası tek iyi haber, sözde hacker'ın Franceschi-Biccherai'ye çalınan bilgileri satma veya dağıtma niyeti olmadığını söylemesidir. Ama bunun için sadece hacker'ın sözüne sahibiz.

GÜNCELLEME 09:15 Salı: VTech verilerini çalan isimsiz hacker söyledi VICE Anakart Pazartesi (Kas. 30) verilerin ayrıca "ebeveynlerin ve çocukların binlerce resmi ve bir yıllık sohbet kayıtları" ve bazı ses dosyaları içerdiği. Yeni dosyalar ile ilgiliydi Çocuk Bağlantısı, ebeveynlerin VTech cihazları kullanan çocuklarla iletişim kurmasına olanak tanıyan iOS ve Android için bir VTech mobil uygulaması.

Bilgisayar korsanı Motherboard'a 190 GB'lık görüntü indirdiğini söyledi, çoğunlukla ebeveynlerin ve çocukların fotoğraflarını. Anakart ile yaklaşık 4.000 görüntü paylaştı.

Bilgisayar korsanı Motherboard'dan Lorenzo Franceschi-Biccherai'ye "Açıkçası, tüm bunları alabilmem beni hasta ediyor," dedi. "VTech kitabı onlara fırlatmalı."

GÜNCELLEME 16:00 EST Salı: VTech güncellendi veri ihlali ile ilgili SSS ilk isimleri (soyadları değil), doğum tarihleri ​​ve cinsiyetleri dahil 6,4 milyon çocuğun profilinin tehlikeye atıldığı haberi ile. Çocuk profilleri 4,8 milyon ebeveyn hesabına bağlandı.

Yaklaşık 2,2 milyon ebeveyn hesabı ve 2,9 milyon çocuk profili Amerika Birleşik Devletleri'ndendi; 238.000 hesap ve 316.000 alt profil Kanadalı kullanıcılara aitti. Ele geçirilmiş çok sayıda hesap ve profile sahip diğer ülkeler Fransa, Birleşik Krallık ve Almanya idi.

VTech, farklı ülkelerde, ilgili müşterilerin sorguları yönlendirebileceği özel e-posta adresleri atadı. Amerikalı müşteriler e-posta gönderebilir [email protected]; Kanadalı müşteriler iletişime geçmelidir [email protected].

Şirket, bildirildiği üzere ebeveynler ve çocuklar arasındaki görüntülerin ve sohbetlerin tehlikeye atıldığını onaylamadı. daha önce, ancak görüntülerin ve ses dosyalarının ortak bir şifrelemeye atıfta bulunarak "AES128 tarafından şifrelenmiş" olduğunu belirtti algoritması. Motherboard'un raporu, görüntüleri izlemede veya ses dosyalarını dinlemede herhangi bir zorluktan bahsetmedi.

"Maalesef veritabanımız olması gerektiği kadar güvenli değildi," diye güncellenen şirket SSS'si şimdi belirtiyor.

  • Mobil Güvenlik Kılavuzu: Bilmeniz Gereken Her Şey
  • En İyi (ve En Kötü) Kimlik Hırsızlığı Koruması
  • Veri İhlalinden Sonra Ne Yapmalı

Flaş haberlere, en yeni incelemelere, harika fırsatlara ve faydalı ipuçlarına anında erişin.

Tom's Guide'a kaydolduğunuz için teşekkür ederiz. Kısa süre içinde bir doğrulama e-postası alacaksınız.

Bir problem vardı. Lütfen sayfayı yenileyin ve tekrar deneyin.

Spam yok, söz veriyoruz. İstediğiniz zaman aboneliğinizi iptal edebilirsiniz ve izniniz olmadan bilgilerinizi asla paylaşmayız.