拉斯维加斯app >实事 >在Hack发布超过200,000名儿童的详细信息后,VTech将学习小屋网站脱机 >

在Hack发布超过200,000名儿童的详细信息后,VTech将学习小屋网站脱机

2019-09-07 02:04:02 来源:工人日报

  

在Hack发布超过200,000名儿童的详细信息后,VTech将学习小屋网站脱机

VTech Hack Children's Data Stolen
儿童玩具和小工具制造商伟易达(VTech)在披露近500万客户账户遭到入侵后,已将其网站下线。 照片:VTech

在历史上最大的数据泄露事件之一,近500万客户账户遭到入侵,超过20万名儿童的细节被儿童玩具和小工具制造商伟易达偷走,这家中国公司已将其Learning Lodge网站脱机,因为它面对其平淡无奇的安全实践的强烈批评。

Learning Lodge是一个在线门户网站,允许伟易达客户为自己和孩子注册账户,以及下载应用,电子书和其他内容到他们的伟易达产品,在第四大消费者之后,它已经脱机历史上的数据泄露。 此举之前有一位不知名的黑客透露姓名,电子邮件地址,密码和家庭住址等信息。 黑客还能够使用伟易达的各种计算机,平板电脑和其他小工具访问有关儿童的数据,包括他们的名字,出生日期和性别。 更令人担忧的是,公司存储信息的方式允许任何能够访问数据的人将父母与孩子联系起来,从而揭示他们的完整身份。

这个最后的事实是由Troy Hunt发现的,他是一名安全专家,也是运营商 服务,允许任何人搜索已知黑客的数据库,以查看他们的详细信息是否已被泄露。 根据该服务,该服务现已更新了VTech数据库的详细信息,这是历史上第四大消费者数据泄露事件。 在一篇 ,亨特指出,他更担心伟易达的持续存在的问题,尽管该公司的陈述似乎表明问题已得到解决。

VTech Learning Lodge website offline 在黑客窃取近500万客户和超过20万名儿童的个人详细信息后,伟易达已将其Learning Lodge网站下线 :Photo:伟易达

Gaping Holes

Hunt由提供数据库,该公司首次报告了该漏洞,而这家总部位于香港的公司已经发布了有关违规行为的声明,称已向所有客户发送电子邮件。 “在发现未经授权的访问后,我们立即进行了彻底的调查,其中包括对受影响的站点进行全面检查,并采取措施防范任何进一步的攻击。” 该公司继续试图证明数据泄露并不像因为没有被盗的财务信息那样麻烦:“重要的是要注意我们的客户数据库不包含任何信用卡信息。”

该公司补充说,没有“个人身份识别数据”被泄露,但亨特不同意并认为该声明仅仅是为了“安抚PCI [支付卡行业]”,并补充说,盗窃不可替代的信息更加令人担忧,问题仍然存在。 “尽管[VTech]保证他们的系统现在是安全的,但他们仍然有一些漏洞,让每个孩子都能与每个家长相匹配。”

Hunt概述了公司在网站Learning Lodge上实施安全性时所谓的“严重失误”,其中父母注册了他们的帐户以及信息可能被盗的地方。

未加密

与网站的通信不使用任何加密,这意味着它会让黑客对中间人进行攻击,允许他们窃取密码,用户名和用户在设置网站时输入的所有其他信息。帐户,虽然它们可能与信用卡数据无关,但本网站提供的详细信息可能与其他在线服务相对应。 “这些天,我们已经远远超出了争论这一点的可行性 - 但事实并非如此,”亨特说。 “这些密码将与父母的许多其他帐户相匹配,并且在运输过程中应该得到适当的保护。”

Hunt还指出,虽然密码名义上是加密的,但加密方法(MD5哈希)“非常接近无用......他们甚至可能都没有打扰过。” 更糟糕的是,安全问题和客户提供的答案都以纯文本形式存储,Hunt指出了这样的违规行为有多严重。 “这些安全问答对是用于在各种不同地方建立身份的不可撤销的个人信息。”

Hunt说这些问题没有“快速修复”,并将他的担忧传递给VTech,暗示它将其网站脱机。 该公司似乎已经听取了所表达的担忧,并表示调查仍在继续进行。

对于他而言,亨特已经将所有480万成人客户细节纳入了他的“我已经被逮捕”中吗? 数据库,但没有将孩子的信息列入名单,但他做出了有先见之明的警告:“这将是他们的数据在很多时候被破坏,倾销和在线交易的第一次。”


载入中...

(责任编辑:翁旒)
  • 热图推荐
  • 今日热点