Ne(ne)chte se šmírovat hračkami vašich dětí, už posbíraly data 5 milionů lidí
Společnost VTech nabízí elektronické hračky. Chytré hračky, výukové hračky, zkrátka všemožná zařízení pro děti, která integrují kameru, mikrofon, Wi-Fi nebo USB rozhraní. Po registraci na webu výrobce můžete využívat různých služeb, spojit se (či děti) s dalšími uživateli a užívat si zkrátka všeho, co tyto produkty nabízejí.
Ukázka fotografií pořízených hračkami VTech, k mnohým jsou přítomné i komentáře ap. od uživatelů - dětí: „Roses are red vilets [sic] are blue and I love you. Mommy and daddy“ nebo „You are my HERO!Daddy!100 percent!“
14. listopadu ale napadlo neznámého hackera, jak asi VTech řeší zabezpečení všech těchto dat. Sám byl překvapen, že není problém přistupovat k fotografiím dětí, záznamům, konverzacím a ty spojovat s údaji o jejich rodičích, na které jsou hračky registrované (aby bylo možné stahovat aplikace a data sdílet). 27. listopadu se informace o tomto nešvaru dostaly na veřejnost. v jednom dni o nich informoval web Motherboard i tiskové oddělení společnosti VTech. Redakce motherboard si chtěla být jistá, zda je skutečně situace tak kritická, jak jí vykreslil onen hacker a zkontaktovala proto specialistu na zabezpečení, Troye Hunta, který pracuje mj. pro společnost Microsoft.
Troy Hunt, bezpečnostní analytik
Hunt informace zjištěné původním hackerem potvrdil - zjistil, že materiály nasbírané o dětech a jejich rodinách lze skutečně spojit s údaji o jejich rodičích, jejichž adresy a kontaktní údaje včetně emailů byly rovněž přístupné. Namátkově několik emailů vybral a jejich majitelů se zeptal, zda přiložené fotografie a osobní údaje skutečně patří jejich rodinám, což mu dotázaní potvrdili.
VTech nabízí řadu tabletů, chytrých hodinek a kamer pro děti, které mohou fotografie a další data přes Wi-Fi odesílat do databáze výrobce (momentálně odpojené)
Teprve poté, co tyto údaje Hunt i redakce webu Motherboard zveřejnila, začal VTech situaci řešit alespoň do té míry, že 29. listopadu deaktivoval služby spojené s hračkami, aby si databází 4 833 678 s fotografiemi a údaji o 200 tisících dětech nemohl každý technicky zběhlý zvědavec prohlížet.
Na obranu VTech lze říct alespoň to, že situaci nijak nebagatelizovala a přiznala, k jakým datům se bylo možné dostat (jméno, emailová adresa, heslo, „tajná“ otázka pro obnovu hesla, IP adresa, korespondenční adresa, historie stahování, jména dětí, jejich pohlaví a data narození) a jaká data v této databázi uložena nebyla (čísla kreditek [nešla vůbec přes systémy VTech], údaje z průkazů totožnosti, na něž se uživatelé registrovali). Podle webu haveibeenpwned.com, který udržuje žebříček největších bezpečnostních prů… lomů se kauza VTech řadí počtem dotčených uživatelů na krásné čtvrté místo.
Jelikož se hračky VTech prodávají i v České republice, zapátrejte v paměti, jestli jste nějaký dětský tablet, chytré hodinky, kameru nebo jiné zařízení s vestavěnou kamerou, mikrofonem ap. od VTech svým dětem nepořídili a u výrobce nezaregistrovali.
Troy Hunt (1, 2), Motherboard (1, 2), haveibeenpwned