Как сообщает The Register, в истории с производителем “умных” игрушек VTech, который не обеспечил должный уровень безопасности и допустил утечку информации с нескольких миллионов пользовательских аккаунтов в 2015 году, наконец поставлена точка. Федеральная торговая комиссия США (FTC) заключила мировое соглашение с Vtech, в рамках которого компания заплатит штраф в размере $650 000 и обязуется соблюдать более строгие стандарты безопасности.

В декабре 2015 года компания VTech признала, что 14 ноября того же года стала жертвой взлома. Злоумышленники нашли уязвимость в магазине приложений Learning Lodge, который служит для загрузки игр, обучающего контента и музыки для детей. Незащищенными оказались также сервисы Kid Connect и Planet VTech. В руки хакеров попали даты рождения детей, их имена, имена родителей, почтовые и электронные адреса, а также секретные вопросы, необходимые для восстановления пароля. Всего утечка затронула около трех миллионов детей. От нее пострадали пользователи из США, Австралии, Великобритании, Китая, Германии, Франции и других стран Западной Европы, Азии и Латинской Америки.

Хакеры, взломавшие портал Learning Lodge, после инцидента анонимно связались с изданием Vice, выразив возмущение беспрецедентно низким уровнем безопасности и тем, что VTech так долго игнорировала сообщения об уязвимостях своих сервисов. Компания использует ненадежные хэши MD5 для шифрования паролей, а сами пользователи усугубили проблему, используя легко взламываемые сочетания вроде “children15”.

Компанию VTech обвинили в том, что она, во-первых, не предупреждала своих пользователей о масштабах сбора конфиденциальных данных и уровне безопасности при их хранении, а во-вторых, не смогла должным образом защитить данные, так как не использовала надежное шифрование. Тем самым она нарушила Закон о защите конфиденциальности детей в Интернете и Акт Федеральной торговой комиссии.

Помимо относительно небольшого штрафа, VTech предписано следовать более строгим стандартам безопасности: проходить регулярные независимые ИБ-аудиты и получать в явном виде согласие родителей на сбор персональных данных.

По мере роста популярности “умных” игрушек повышается риск возникновения киберинцидентов с их участием. Так, недавно эксперты проанализировали шесть таких игрушек и выяснили, что они могут открыть доступ к домашней сети Wi-Fi, “слить” данные о ребенке или отправить ему сообщения от лица близких. Пока, судя по результатам различных исследований, производители недостаточно усердно защищают маленьких пользователей.

Категории: Уязвимости, Хакеры