据该网站称« 我被欺负了吗? »,这是有史以来第四大数据盗窃案。 11 月 14 日,一名黑客窃取了电子玩具(平板电脑、相机等)制造商 VTech 的数据库。它能够转移 480 万个家长帐户以及 227,000 个儿童帐户的个人数据。黑客通过将所有这些数据发送到美国高科技网站 Motherboard 来证明自己的行为。幸运的是,数据窃贼解释说,他无意以欺诈方式使用这些数据,例如在暗网上出售这些数据。他只会将它们发送到主板。这并不意味着这些数据以前没有被黑客攻击过。 “下载起来非常容易。如果其他人有更黑暗的目标,很容易就能做到这一点», 强调匿名黑客。
伟易达证实了黑客攻击公报。该公司强调,丢失的数据不包含任何银行卡号,也不包含任何身份识别号码(驾照、社保、身份证)。但是,它们包含姓名、电子邮件地址、密码、秘密问题及其答案、IP 地址、邮政地址以及下载历史记录。事实上,这些账户主要用于连接伟易达网站,获取儿童玩具和家长终端的移动应用程序。
这起事件中最引人注目的事情是伟易达实施的低安全级别。黑客解释说,他之所以能够获得这些数据,是因为 SQL 注入攻击使他获得了对数据库的“root”访问权限。这种类型的黑客攻击非常简单,证明伟易达的基础设施保护非常薄弱。但这还不是全部。能够分析数据的微软安全研究员 Troy Hunt 表示,数据库中存储的密码甚至没有加密。它们仅通过 MD5 哈希算法进行编码。解码它们是立即的。此外,安全问题及其答案以纯文本形式存储。但是,相同的问题可用于其他帐户,因此将允许访问它们。
重大缺陷
Troy Hunt 还指出,VTech 网站在用户注册帐户时不使用安全连接 (SSL/TLS),尽管这应该是规则。最后,研究人员指出,他在伟易达网站上发现了其他严重缺陷,允许恢复用户的个人数据。“修复它们并不容易。这些缺陷是根本性的,我建议[伟易达]尽快断开他们的网站”,他解释道。事实上,厂家就是这么做的。对他来说太糟糕了,这发生在圣诞节前几周……
资料来源:
视频如下:Delphine Sabattier 关于玩具制造商伟易达遭受黑客攻击的专栏
