Bijna 125.000 Nederlandse kinderen getroffen door hack bij VTech

Bij een cyberaanval op VTech, fabrikant van speelgoed waaronder computers voor kinderen, zijn gegevens van 6,4 miljoen kinderen gestolen. Ook 225.000 Nederlanders zijn getroffen door de cyberaanval. Het gaat om ruim 100.000 ouders en bijna 125.000 kinderen.

Dit blijkt uit cijfers die VTech op zijn website heeft gepubliceerd. De aanval op de online winkel ‘Learning Lodge’ en de app ‘Kid Connect’, waarmee ouders op afstand kunnen communiceren met kinderen via audio- en tekstberichten, vond op 14 november plaats en werd 27 november naar buiten gebracht door Motherboard. Deze site heeft contact heeft met de hacker, die stelt in totaal 190GB aan foto’s van kinderen en zowel chat- als audioberichten tot een jaar terug in handen te hebben. Een klein deel van deze content is doorgespeeld naar Motherboard om zijn verhaal te onderbouwen. VTech zelf stelt dat gegevens maximaal 30 dagen worden bewaard, wat door de hacker dus wordt tegengesproken.

VTech heeft zijn online winkel 'Learning Lodge' offline gehaald na de cyberinbraak

Encryptie

Ook stelt VTech dat gegevens versleuteld worden opgeslagen. Beveiligingsonderzoeker Troy Hunt heeft op verzoek van Motherboard de sample van de gestolen data onderzocht. Hieruit blijkt dat VTech e-mailadressen en wachtwoorden weliswaar beveiligd opslaat, maar hiervoor de md5 cryptografische hashfunctie gebruikt. Deze staat bekend als onveilig.

Ook wijst de analyse uit dat geheime vragen, waarmee gebruikers hun wachtwoord kunnen onthouden en eventueel herstellen, onversleuteld zijn opgeslagen. De website van VTech maakt daarnaast geen gebruik van versleuteling, waardoor inloggegevens onversleuteld worden verstuurd en kunnen worden onderschept door aanvallers. Opvallend is ook dat VTech de hack zelf niet in de gaten had. Het bedrijf geeft toe de aanval pas op het spoor te zijn gekomen nadat Motherboard hierover schreef.

Data wordt niet verkocht

De hacker die achter de aanval stelt te zitten geeft aan niet van plan te zijn de data te verkopen of verspreiden. De aanvaller stelt de data uitsluitend te hebben gedeeld met Motherboard.

2 Responses to Bijna 125.000 Nederlandse kinderen getroffen door hack bij VTech

  1. ‘Gegevens van Hello Kitty-fans zijn slecht beveiligd’

    21 december 2015
    Nieuws

    Hello Kitty heeft de beveiliging van gegevens van fans niet op orde. Hierdoor zijn de gegevens van 3,3 miljoen Hello Kitty-fans wereldwijd eenvoudig te stelen.
    Hiervoor waarschuwt beveiligingsonderzoekers Chris Vickery tegenover CSO Online. Hello Kitty is een merk van het bedrijf Sanrio, dat door Vickery op de hoogte is gesteld van het problemen. Hello Kitty verkoopt onder andere kleding en schoolspullen, waardoor de database mogelijk ook persoonsgegevens van kinderen bevat.
    Meerdere bronnen lekken data
    De gegevens zouden vanuit meerdere bronnen lekken, waaronder de officiële fanwebsite Sanriotown.com. Hier zijn onder andere de voor- en achternaam, geboortedata, geslacht, nationaliteit, e-mailadres, ongesalte SHA-1 wachtwoord hashes, wachtwoordhints en de bijbehorende antwoorden opgeslagen. Ook accounts die zijn geregistreerd via de fan portals hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th en mymelody.com zouden door de kwetsbaarheid getroffen zijn.
    Naast de primaire database van Sanriotown heeft Vickery ook twee backup servers met daarop mirrors van de data in kwestie aangetroffen. De data zou sinds 22 november 2015 toegankelijk zijn voor onbevoegden.
    Wachtwoord wijzigen
    Vickery adviseert gebruikers hun wachtwoord van hun Hello Kitty-account zo snel mogelijk te wijzigen. Indien dit zelfde wachtwoord ook op andere plekken is gebruikt adviseert de onderzoeker ook deze wachtwoorden te wijzigen.
    Het is de tweede keer in korte tijd dat een datalek naar buiten komt waarbij kinderen (mogelijk) zijn getroffen. In november bleek de fabrikant van speelgoed VTech door een datalek getroffen te zijn. Hierbij werden de gegevens van 6,4 miljoen kinderen gestolen, waaronder ook bijna 125.000 Nederlandse kinderen.
    jQuery(document).load(function(){ stLight.options({publisher:”}); });emailprintvar dd_offset_from_content = 40;var dd_top_offset_from_content = 0;var dd_override_start_anchor_id = “”;var dd_override_top_offset = “”;

    beveiliging, datalek, privacy, persoonsgegevens, VTech, Chris Vickery, Hello Kitty

  2. Bijna 125.000 Nederlandse kinderen getroffen door hack bij VTech: Bij een cyberaanval op VTech, fabrikant van … bit.ly/1XxF4Rk

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *