Chinese speelgoedfabrikant kinderlijk eenvoudig gehackt
Het is een van de grootste hacks ooit: vorige week werd bekend dat Vtech, een Chinees bedrijf dat kinderspeelgoed- en gadgets verkoopt, is getroffen door een hack. De gevolgen hiervan worden steeds duidelijker: het bedrijf had zijn beveiliging niet op orde.
Vrijdag meldde de Amerikaanse techsite Motherboard dat de speelgoedmaker was gehackt en dat daardoor gevoelige informatie van miljoenen klanten was gestolen. De hacker in kwestie verstrekte data aan Motherboard, die de gegevens onderzocht.
Vtech heeft toegegeven dat het bedrijf niet op de hoogte was van de hack, die bijna twee weken geleden werd uitgevoerd. In een persbericht zegt het bedrijf de zaak te onderzoeken en benadrukt het dat er geen creditcardgegevens zijn gestolen.
5 miljoen klantgegevens
Wel is er veel andere andere informatie buitgemaakt, ontdekte beveiligingsonderzoeker Troy Hunt. Hij werd door Motherboard gevraagd om de gegevens te bekijken. Hunt ontdekt dat de klantgegevens nauwelijks of slecht beveiligd zijn.
Zo werden de e-mailadressen van 4,8 miljoen ouders en het bijbehorende wachtwoord opgeslagen met een md5-beveiliging, een methode die al jaren bekendstaat als zeer onveilig.
Daarnaast blijkt uit de analyse van Hunt dat de geheime vragen onbeveiligd worden opgeslagen. Met die geheime vragen kunnen gebruikers hun wachtwoorden onthouden. Ook maakt de website van Vtech geen gebruik van versleuteling. Dat betekent dat als iemand zijn gebruikersnaam en wachtwoord invoert, deze onbeveiligd worden verstuurd en een hacker ze gemakkelijk kan onderscheppen.
Selfies van ouders en kinderen
Het blijft niet bij e-mailadressen en wachtwoorden. Een van de diensten die Vtech levert, is Kid Connect. Een chat-app voor ouders en hun kinderen. Het bedrijf moedigt ze aan om via de dienst selfies naar elkaar te sturen. Ook kunnen ouders en kinderen audioberichten naar elkaar sturen.
De hacker deelt het afgelopen weekend meer bewijs met Motherboard, waaruit blijkt dat Vtech tienduizenden foto's heeft bewaard. De hacker claimt 190 GB aan foto's te hebben gedownload. Hij deelt daarvan een kleine selectie, zo'n 3000 exemplaren, met de techsite. Daarnaast krijgt Motherboard conversaties onder ogen en krijgen ze een voorbeeld van een audiobericht.
Vtech heeft de getroffen sites, waaronder een platform waar apps kunnen worden gedownload, tijdelijk offline gehaald.
Impact Nederland
De Nederlandse vestiging van Vtech laat in een reactie aan de NOS weten dat het niet bekend is of er Nederlandse gebruikers getroffen zijn door de hack. In totaal zouden zo'n 100.000 Nederlanders zich ooit via Vtech hebben geregistreerd.
De woordvoerder bevestigt wel dat het gaat om bijna 5 miljoen gebruikersgegevens. Hij kon niet bevestigen of er inderdaad foto's, chatconversaties en audioberichten zijn gevonden. Verder benadrukt de woordvoerder nogmaals dat er geen creditcardgegevens zijn gestolen.
De hacker heeft aan Motherboard laten weten dat hij niet van plan is om de gegevens te verkopen.