香港玩具生产商伟易达的数据外泄似乎也包括孩子和父母的照片,加入到这可能是今年最令人惊讶的泄漏之一。
伟易达,这使得无绳电话,并为孩子们什么方面的电子学习设备,道歉on Twitter on Monday. The company said it has suspended the affected service, called Learning Lodge, and is notifying customers.
副主板的技术新闻网站,其首次报道违反周一表示,违约还含有数以千计的家长和孩子们和聊天记录的照片。
VTech officials couldn't immediately be reached for comment on Tuesday.
该漏洞影响了数据库,伟易达的学习洛奇应用程序商店,在线服务连接到公司的许多设备。伟易达说,数据库是在11月14日访问。
被感染的数据中包含480万个客户的电子邮件地址,姓名和成年人注册用户的弱哈希密码。它还包括性别,名字和超过20名万名儿童的出生日期。
从美国,加拿大,英国,爱尔兰,法国,德国,西班牙,比利时,荷兰,丹麦,卢森堡,香港,中国,澳大利亚,新西兰和拉美用户的客户资料来了,伟易达在说FAQ。
该数据被黑客传递给主板,发布报告。主板被告知是由SQL注入漏洞获得的数据。
SQL注入漏洞,其中最常见的问题与网站之一,可以使黑客命令输入到一个基于Web的形式,并获得后端数据库回应。
有些伟易达的数据是由主板传给特洛伊亨特,谁研究数据泄露和运行名为通知服务基于澳大利亚安全专家我就一直在PWNED。
他通过联系一些人谁已经注册了他的服务,如果他们的电子邮件地址,在一个新的数据泄露轮番上涨,其通知的人验证的漏失数据。
在上周六一个漫长的博客文章,伟易达的学习洛奇亨特的调查和相关的在线服务打开了许多令人震惊的安全问题。
伟易达的帐号注册服务不使用SSL / TLS(安全套接层/传输层安全),其中一个加密,用户的计算机和服务之间发送的数据,亨特写道。它被认为是一个高风险的不启用SSL / TLS,特别是当注册账户的个人信息和密码。
特洛伊亨特
这是伟易达的账号注册的面板父母中的一方。
伟易达表示存储密码进行加密。亨特发现伟易达存储的密码哈希值,这是密码的加密表示已经通过一种算法搅动。
但伟易达采用被称为MD5算法,这被认为是非常弱的。这些转换成散列其原始密码可能使用解码工具和强大的图形处理器。
“绝大多数这些密码会在最短时间内被破解,”亨特写道。
亨特进一步分析显示,它很容易注册帐户的父母与他们登记的儿童相匹配。这些缺陷,他说,据报道,伟易达。
“这个漏洞是根本,我已经通过了关于建议是把它尽快下线,直到他们能正确地解决它,”亨特写道。“你不能把其他人的数据的机会以这种方式,尤其不能当他们的孩子。”
在Veracode的安全研究副总裁Chris工程,说,一些消费类技术公司不把安全作为其核心业务的主要部分,而“他们付出代价。”
"VTech is a toy company," Eng said. "Toy manufacturers don’t have the rigor around secure development that’s needed in today’s environment and are inevitably going to fall short on security.”