La información personal de 5 millones de padres e hijos usuarios de VTech se dieron a conocer después de un ataque cibernético.
IDG News Service | Jeremy Kirk
La violación de los datos del fabricante de juguetes de Hong Kong, VTech, parece que también han incluido fotos de los niños y los padres, añadiendo a lo que podría ser una de las más sorprendentes filtración de datos del año.
VTech, que fabrica teléfonos inalámbricos, y lo que denomina dispositivos electrónicos de aprendizaje para niños, se disculpó en Twitter el lunes. La compañía dijo que ha suspendido el servicio afectado, llamado Learning Lodge, y se notificó a los clientes.
Motherboard reportó por primera vez la brecha el lunes, añadiendo que esta contenía miles de fotos de los padres, de los niños y los registros de chat.
Funcionarios VTech no pudieron ser contactados inmediatamente para hacer declaraciones.
La filtración afectó a la base de datos de la aplicación Learning Dodge de VTech, un servicio en línea que conecta a varios de los dispositivos de la empresa. VTech dijo que lo atacantes accedieron a la base de datos el 14 de noviembre
Los datos comprometidos incluyen las direcciones de correo electrónico de 4.8 millones de clientes, nombres y contraseñas de usuarios adultos registrados. También incluye el género, el nombre y las fechas de nacimiento de más de 200,000 niños.
Los datos de los clientes eran de usuarios en los Estados Unidos, Canadá, Reino Unido, Irlanda, Francia, Alemania, España, Bélgica, Holanda, Dinamarca, Luxemburgo, Hong Kong, China, Australia, Nueva Zelanda y América Latina, dijo VTech en la sección de FAQ.
Los datos fueron enviados a Motherboard por el hacker, según la publicación ha reportado. Los perpetradores aseguraron a Motherboard que los datos fueron obtenidos a través de una vulnerabilidad de inyección SQL.
Una falla de inyección SQL, es uno de los tipos más comunes de problemas con los sitios web, y puede permitir a un hacker introducir comandos en un formulario basado en la Web y obtener la base de datos back-end para responder.
Algunos de los datos de VTech fue pasada de Motherboard a Troy Hunt, un experto en seguridad con sede en Australia que estudia las violaciones de datos y ofrece un servicio de notificación Have I Been Pwned.
Se verificó los datos filtrados por ponerse en contacto con algunas personas que se habían inscrito para este servicio, notificando a las personas si sus direcciones de correo electrónico están dentro de la violación de datos.
En una larga entrada al blog, la investigación de Hunt sobre las aplicaciones Learning Lodge y otrs servicios en línea asociados de VTech, arrojó numerosos problemas de seguridad graves.
Los servicios de registro de cuentas de VTech no utilizan SSL/TLS (Secure Sockets Layer / Transport Layer Security), que encripta los datos enviados entre el equipo de un usuario y el servicio, confirmó Hunt. Se considera de alto riesgo no activar SSL/TLS, sobre todo cuando se registran contraseñas y cuentas con información personal.
VTech dijo que las contraseñas almacenadas estaban encriptadas. Hunt encontró almacenadas contraseñas VTech que estaban ocultas gracias a un cifradas hecho a través de un algoritmo de la compañía.
Pero VTech utiliza un algoritmo conocido como MD5, que se considera muy débil. La conversión de esas contraseñas a sus originales es posible mediante el uso de herramientas de decodificación y procesadores gráficos potentes.
“La gran mayoría de estas contraseñas se descubrieron en poco tiempo”, escribió la caza.
Un análisis más detallado por Hunt demostró que es fácil juntar las cuentas registradas de los padres registrados con la de sus hijos. Las fallas, dijo, se han notificado a VTech.
“Las fallas son fundamentales, y la recomendación que he pasado irse fuera de línea lo antes posible hasta que puedan arreglarlo apropiadamente,” escribió Hunt. “Simplemente no puedes correr riesgos con los datos de otras personas de esta manera, sobre todo cuando son niños.”
Chris Eng, vicepresidente de investigación de seguridad en Veracode, dijo que algunas compañías de tecnología de consumo no consideran la seguridad como una parte primordial de su negocio principal, y ahora “están pagando el precio por ello.”
“VTech es una empresa de juguetes”, dijo el Ing. “Los fabricantes de juguetes no tienen el rigor en torno al desarrollo seguro que se necesita en el entorno actual e inevitablemente va a quedarse cortos en cuando a la seguridad.”