База данных крупного китайского производителя игрушек VTech подверглась взлому, в результате чего произошла утечка критической информации о пользователях, включая имена, домашние адреса, email-адреса, а также секретные вопросы, необходимые для восстановления пароля. Но еще более настораживает то, что ввиду активного и повсеместного внедрения технологий жертвами подобного инцидента стали и дети — утечка затронула также имена и даты рождения миллионов детей.

Китайская корпорация, специализирующаяся на разработке игровых и обучающих гаджетов для детей дошкольного возраста, признала, что взлом произошел 14 ноября. Злоумышленники нашли дыру в магазине приложений Learning Lodge App Store, через который происходит загрузка игр, книг, музыки и другого контента для игрушек VTech.

Специалист по безопасности Трой Хант (Troy Hunt) утверждает, что обнаружил копию базы утекших по воле злоумышленников данных, насчитывающую более 4,8 млн уникальных email-адресов.

Вину ИБ-эксперт возлагает на слабую защиту пользовательских паролей — VTech использует хэши MD5, к тому же без соли. Проблему, как всегда, усугубили сами пользователи: при создании паролей у многих фантазия не идет дальше незамысловатых «children15» и «welcome81».

Печально, что в данном случае в руках взломщиков оказались данные более 227 тыс. детей, в том числе пол, имена и даты рождения (эта информация вводится при создании аккаунта родителями). Об этом Ханту сообщил журналист издания Vice, с которым якобы связались хакеры, взявшие ответственность за инцидент.

Беспокоиться следует семьям из многих стран мира, включая США, Австралию, Великобританию, Китай, Германию, Францию и другие страны Западной Европы, Азии, а также Латинской Америки.

Производитель игрушек уже выпустил официальное заявление, в котором признал факт взлома, а также уверил, что похищенная информация не включает данные кредитных карт — для оплаты пользователи перенаправляются на хорошо защищенный шлюз. Компания пообещала, что усилит защиту своей инфраструктуры. Расследование инцидента продолжается.

Update. 3 декабря VTech опубликовала FAQ, признав факт неавторизованного доступа к данным пользователей и уточнив потери: более 4,85 млн. клиентских аккаунтов (созданных родителями из разных стран) и около 6,37 млн. профилей их детей. Кроме персональных данных, хакеру удалось, как он заявил Motherboard, заполучить свыше 190ГБ  фотографий, IM-сообщения, которыми дети и родители обменивались с помощью приложения Kid Connect, и аудиозаписи с гаджетов VTech.

Категории: Хакеры