據該網站稱« 我被欺負了嗎? »,這是有史以來第四大資料竊盜案。 11 月 14 日,一名駭客竊取了電子玩具(平板電腦、相機等)製造商 VTech 的資料庫。它能夠轉移 480 萬個家長帳戶以及 227,000 個兒童帳戶的個人資料。駭客透過將所有這些數據發送到美國高科技網站 Motherboard 來證明自己的行為。幸運的是,數據竊賊解釋說,他無意以欺詐方式使用這些數據,例如在暗網上出售這些數據。他只會將它們發送到主機板。這並不意味著這些資料以前沒有被駭客攻擊過。 “下載起來非常容易。如果其他人有更黑暗的目標,很容易就能做到這一點», 強調匿名駭客。
閱讀:Orange 和 Domino's Pizza 在法國資料竊盜事件中名列前茅
偉易達證實了駭客攻擊公報。該公司強調,遺失的資料不包含任何銀行卡號,也不包含任何身分識別號碼(駕照、社保、身分證)。但是,它們包含姓名、電子郵件地址、密碼、秘密問題及其答案、IP 地址、郵政地址以及下載歷史記錄。事實上,這些帳戶主要用於連接偉易達網站,獲取兒童玩具和家長終端的行動應用程式。
這起事件中最引人注目的事情是偉易達實施的低安全等級。駭客解釋說,他之所以能夠獲得這些數據,是因為 SQL 注入攻擊使他獲得了對資料庫的「root」存取權限。這種類型的駭客攻擊非常簡單,證明偉易達的基礎設施保護非常薄弱。但這還不是全部。能夠分析資料的微軟安全研究員 Troy Hunt 表示,資料庫中儲存的密碼甚至沒有加密。它們僅透過 MD5 雜湊演算法進行編碼。解碼它們是立即的。此外,安全問題及其答案以純文字形式儲存。但是,相同的問題可用於其他帳戶,因此將允許存取它們。
重大缺陷
Troy Hunt 也指出,VTech 網站在使用者註冊帳戶時不使用安全連線 (SSL/TLS),儘管這應該是規則。最後,研究人員指出,他在偉易達網站上發現了其他嚴重缺陷,允許恢復用戶的個人資料。「修復它們並不容易。這些缺陷是根本性的,我建議[偉易達]盡快斷開他們的網站”,他解釋道。事實上,廠商就是這麼做的。對他來說太糟糕了,這發生在聖誕節前幾週…
資料來源:
影片如下:Delphine Sabattier 關於玩具製造商偉易達遭受駭客攻擊的專欄
