Personlige informationer som omhandler mere end 5 mio. voksne og 200.000 børn er offentliggjorte efter et vellykket hackerangreb imod firmaet VTech. Mere end 10.000 danske konti er berørte.
Firmaet Vtech er et prisvindende kinesisk firma som leverer elektronisk og digitalt legetøj til børn. Legetøjet er udviklet til indlæring, de er blandt andet kendt for deres Innotab samt mange andre løsninger med samme formål. Kunderne kan oprette konti, der giver dem mulighed for at hente nye funktioner eller dele indhold med andre.
Tidligere denne måned lykkedes det en hacker at få adgang til firmaets sensitive oplysninger omkring forbrugerne fra 4,9 mio. forældre som inkluderede:
- Navne
- Emailadresser
- Passwords / security questions
- Bopæls adresser
Herudover blev navne, køn og fødselsdage på 200.000 børn afsløret. Hvad værre er, er at det, ifølge en ekspert fra nyhedsmediet Motherboard, er muligt at forbinde børnene til alle de forældres data som er blevet stjålet og dermed afsløres også deres fulde identiteter inklusiv bopæls adresser.
1. Omkring 10.000 konti tilhørende danskere er berørt.
2. Der er to typer konti: For forældre og for børn. Hackerne har blandt andet fået fat i forældrenes navne, mailadresser, sikkerhedsspørgsmål med tilhørende svar, samt passwords i krypteret form.
3 Endvidere har hackerne også adgang til krypteret indhold om brugerne. Det omfatter billeder af børnene og beskeder sendt til dem.
4. Hackerne har ikke fået fat i kreditkortoplysninger.
5. 10.051 konti fra brugere i Danmark er ramt. 4.504 af dem er børnekonti.
Kilde. CERT
Enormt hackerangreb, der nu involverer børn, er det fjerde største angreb i historien.
Hvad som gør denne case interessant er at den er blevet klassificeret som det fjerde største angreb i historien ifølge “ have i been pwned?” – en frivillig service lavet af Microsofts MVP nominerede Troy Hunt, hvor du som bruger kan indtaste din mail og se om den har forbindelse med nogen kendte sager.
Hackeren gav oplysningerne til nyhedsmedie
Gerningsmanden bag angrebet, som har valgt at være anonym, tog på eget initiativ kontakt til nyhedsmediet Motherboard.vice.com og afleverede alle oplysningerne til dem og fortalte at de var de eneste som havde fået dataene. Da han blev spurgt hvad hans plan var med alle de data, var hans svar ” ingenting”. Nyhedsmediet tog derefter kontakt til Vtech som ikke anede hvad som havde foregået.
Et ” wake up call til større virksomheder ”
Hackeren fik adgang til firmaets database ved at benytte en teknik som går under navnet SQL injection. Teknikken anses som værende simpel men effektiv men burde, for en større virksomhed med sikkerheden i orden, ikke være en trussel i 2015. ” Det var meget let at gøre ” udtaler han og understreger at han ikke havde til hensigt at publicere oplysningerne offentligt eller sælge dem, men at andre med mørkere motiver måske ville.
De ramte tjenester er Learning Lodge app store, VTech Kid Connect og følgende websteder:
- www.planetvtech.com
- www.lumibeauxreves.com
- www.planetvtech.fr
- www.vsmilelink.com
- www.planetvtech.de
- www.planetvtech.co.uk
- www.planetvtech.es
- www.proyectorvtech.es
- www.sleepybearlullabytime.com
- de.vsmilelink.com
- fr.vsmilelink.com
- uk.vsmilelink.com
- es.vsmilelink.com
Anbefaling
Hvis du har en konto hos VTech, og du har brugt samme password på andre tjenester, bør du ændre det på alle tjenesterne.
