Der Spielzeughersteller Vtech wurde kürzlich Opfer eines Hacker-Angriffs, hierbei wurden nicht nur Nutzernamen und Passwörter entwendet, sondern auch Adressen, Porträtfotos von 10.000 Kindern, Chat-Verläufe und Audiodateien.
Am Wochenende wurde bekannt, dass Vtech, ein Hersteller von elektronischen Kinderspielzeug, welcher sowohl Smartphones, Tablets und Smartwatches für Kinder herstellt. Jetzt wurde bekannt, dass Datensätze von mehr als 200.000 Kindern und 5 Millionen Eltern kompromittiert wurden.
Der anonyme Hacker hat dem Motherboard ein Statement gegeben. Der Hacker behauptet, dass er mehr als 190 GByte Daten von den Servern heruntergeladen hatte – hierunter befinden sich mehr als 10.000 Porträtfotos von Kindern und Eltern. Als wäre das nicht genug, wurden zudem Chat-Verläufe und Audioaufzeichnungen von Gesprächen zwischen Kindern und Eltern entwendet.
Der Hacker gab gegenüber vtech an, die Daten nicht zu verkaufen oder zu veröffentlichen: „Es macht mich krank, dass ich in der Lage war, alle diese Informationen herunterzuladen“, sagte er zu Motherboard. Um den Hack zu verifizieren, hat er dem Magazin 3.832 Kinderbilder überreicht, Motherboard hat einige der geschwärzten Bilder veröffentlicht.
Hacker: Die Daten stammen aus Vtech Kid Connect
Die Daten hatte der Hacker aus „Kid Connect“ von vtech entwendet. Damit können Eltern über eine Smartphone-App mit den Kindern kommunizieren. Bei benutzen dieser Anwendung, ermutigt vtech sowohl die Kinder als auch die Eltern dazu, Porträtfotos anzufertigen.
Interessant waren die Sicherheitsmaßnahmen von vtech, offenbar hat der Hersteller aus Hong Kong an den falschen Ecken gespart. Die Passwörter wurden lediglich in MD5 gehasht. Zudem lief der Hack laut Motherboard durch eine SQL-Injekton auf der Seite. Die anderen Daten (Audiodateien, Chat-Verläufe) sind offenbar gar nicht verschlüsselt worden. Hinzu war die Zuordnung der Bilder auf einzelne Accounts kein Problem.
Vtech hat – eigenen Angaben zufolge – einige Server vom Netz genommen, zudem heißt es in der Mitteilung, dass keine Kreditkarteninformationen abhanden gekommen sind. Über die kopierten Kinderfotos hat Vtech noch kein Statement abgegeben.
Alle vom Hack betroffenen Accounts wurden via E-Mail informiert. Deutsche Kunden können ihre Fragen über downloadmanager@vtech.de stellen.
