History of Hacks – VTech Hack

Im Jahr 2015 wurde der Spielzeughersteller VTech gehackt. Der anonyme Hacker konnte sich Zugriff auf mehrere Millionen Nutzerkonten, auch von Kindern, verschaffen. Was war passiert?

Der Hack auf VTech

Bekannt wurde dem Lernspielzeug-Anbieter VTech der Hack im November 2015 durch Information des Motherboard-Journalisten Lorenzo Francheschi-Bicchierai. Betroffen waren demnach die Datenbank der „Learning Lodge“ App, die Websites von „PlanetVTech“ und „V.Smile Link“ und der Server von „Kid Connect“.
Die Learning Lodge dient dem Runterladen von Spielen und e-Books auf VTech Produkte. Via Kid Connect können Eltern und Kinder Sprach- sowie Text-Nachrichten, Fotos, Zeichnungen und Sticker zwischen Tablets und den Smartphones der Eltern austauschen. Auf den beiden Websites PlanetVTech und V.Smile Link wurden interaktive Spiele für Kinder bereitgestellt.

Nachdem der Hack bestätigt werden konnte, veröffentlichte VTech eine Pressemitteilung für die Öffentlichkeit und informierte per E-Mail die betroffenen Kunden. Einige Zeit später, nachdem klar war, dass deutlich mehr Accounts kompromittiert waren, wurden noch weitere mögliche betroffene Kunden informiert.

Allein durch den Hack der Learning Lodge waren fast 5 Millionen Eltern-Accounts und 6 Millionen dazugehörige Kinder-Accounts betroffen, 1,2 Millionen davon hatten den Kid Connect Service aktiviert. Die Profile der Kinder enthielten Namen, Geschlecht und das Geburtsdatum sowie den Spielfortschritt der Kinder. Über die Eltern waren Namen, E-Mail-Adressen, Post-Adresse, Daten zum Zurücksetzen des Passworts, IP-Adresse, Download-Historie, Historie der gekauften Geräte und Passwörter gespeichert. Allein die Zahlungsdaten wurden in den Datenbanken des Unternehmens nicht gespeichert.
Alle Daten waren nur äußerst unzureichend abgesichert. Der Hack lief nach Angaben von Motherboard über eine SQL-Injektion.
In Deutschland waren ca. 390.000 Elternkonten und 508.000 Kinderprofile betroffen.
Nach eigener Aussage des Hackers wollte er die Daten nicht veröffentlichen, sondern nur auf die mangelhaften Sicherungsmaßnahmen hinweisen.

Die Strafe

Mittlerweile hat sich VTech mit der US-Handelsaufsicht auf eine Strafe von 650.000 US-Dollar für das massive Datenleck geeinigt. Das Unternehmen hatte laut Federal Trade Commission (FTC) die Datenschutzrechte verletzt, indem es persönliche Daten sammelte, ohne die Eltern um Zustimmung zu bitten oder sie überhaupt auf die Erhebung und Speicherung der Daten hinzuweisen.

Im Dezember 2015 wurde ein 21-jähriger Verdächtiger von britischen Ermittlern festgenommen, der in Verdacht stand mit dem Hack in Verbindung zu stehen.

Sonstiges

Die betroffene „Learning Lodge“ ist mit einigen Funktionen seit Januar 2016 laut VTech wieder online. Der Service „Kid Connect“ wurde von dem Unternehmen komplett neu aufgesetzt. Die  beiden Websites PlanetVTech und V.Smile Link sind offline und es gibt bisher keine Pläne dies zu ändern.

 

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *