Đã qua một thời gian lộn xộn đối với nhà cung cấp sản phẩm điện tử học tập dành cho trẻ em, VTech. Công ty có trụ sở tại Hồng Kông đã công bố kế hoạch mua lại đối thủ cạnh tranh thị trường trực tiếp LeapFrog với giá 72 triệu đô la, mở rộng đáng kể thị phần và định vị mình là một trong những nhà phát triển và nhà cung cấp hàng đầu trong các sản phẩm học tập điện tử dành cho trẻ em. Thật không may, tuần đã không tiếp tục như kế hoạch.
VTech đã cập nhật các điều khoản và điều kiện của họ sau một vụ hack lớn vào năm 2015, ngang nhiên chuyển giao trách nhiệm cho cha mẹ và người chăm sóc mà không cần suy nghĩ kỹ.
Họ đã thay đổi những gì? Họ đã bảo đảm những gì? Bạn nên làm gì?
Chuyện gì đã xảy ra với VTech?
VTech đã bị tấn công vào tháng 11 năm ngoái, kẻ tấn công đã lấy đi dữ liệu từ hơn 4 triệu tài khoản người lớn và hơn 6 triệu tài khoản trẻ em. Vụ tấn công đã làm lộ dữ liệu cá nhân của mỗi tài khoản bị xâm nhập bao gồm tên, địa chỉ email, mật khẩu, câu hỏi và câu trả lời bí mật, địa chỉ IP, địa chỉ gửi thư và lịch sử tải xuống. Ngoài ra, cơ sở dữ liệu cửa hàng ứng dụng của VTech, Learning Lodge, cũng bị xâm phạm.
Từ đây, dữ liệu bao gồm nhật ký trò chuyện, tệp âm thanh cá nhân và ảnh đã bị xâm phạm, nhiều dữ liệu thuộc về trẻ em sử dụng thiết bị.
Lỗ hổng bảo mật
Vụ tấn công ban đầu được vạch trần bởi Lorenzo Bicchierai, người viết cho tạp chí Bo mạch chủ tập trung vào công nghệ của Vice sự xuất bản. Sau khi bài báo đầu tiên được xuất bản, Bicchierai đã được liên hệ với một cá nhân tự xưng là đã thực hiện vụ hack, người đã cung cấp những bức ảnh nhạy cảm cho nhà báo để xác minh.
Bicchierai sau đó đã mời chuyên gia bảo mật thông tin Troy Hunt phân tích dữ liệu được cung cấp để xác nhận xem vụ rò rỉ có hợp pháp hay không, chứ không phải là một trò lừa bịp. Khi xác nhận, Hunt đã phân tích thêm dữ liệu và công bố chi tiết về các lỗ hổng ảnh hưởng đến VTech. Các lỗ hổng, như Hunt đã phát hiện ra, rất khủng khiếp.
Lỗ hổng tham chiếu đối tượng có nghĩa là người dùng có thể dễ dàng truy cập vào tài khoản của người khác bằng cách lướt qua URL, toàn bộ hệ thống máy chủ lưu trữ cực kỳ nhạy cảm với bất kỳ hình thức chèn SQL nào và có:
"Không có SSL ở bất cứ đâu ... Mọi thông tin liên lạc đều qua kết nối không được mã hóa, bao gồm cả khi mật khẩu, thông tin chi tiết của cha mẹ và thông tin nhạy cảm về con cái được truyền đi."
Anh ấy cũng tìm thấy mật khẩu được "mã hóa" bằng một băm MD5 đơn giản, không có muối hoặc thậm chí nhìn thấy một thuật toán băm nâng cao, có nghĩa là bất kỳ ai có kỹ năng tính toán thậm chí hơi nâng cao cũng có thể bẻ khóa chúng trong một khoảng thời gian ngắn.
Hơn nữa, các câu hỏi và câu trả lời bí mật được lưu trữ dưới dạng văn bản thuần túy, không có biện pháp bảo mật bổ sung nào. Hunt cũng lưu ý chất lượng kém của các câu hỏi bảo mật, chẳng hạn như "Màu sắc yêu thích của bạn là gì?" hoặc "Bạn sinh ra ở đâu?" và thông tin khám phá đơn giản không kém khác.
Người dùng con
Sau khi cha mẹ đã tạo tài khoản người lớn của họ, các tài khoản con có thể được tạo. Mỗi tài khoản trẻ em được liên kết trực tiếp với tài khoản người lớn và chúng có thể thêm hình đại diện, ngày sinh và giới tính của mình.
Sau đó, dữ liệu được lưu trữ trong bảng tự tham chiếu bằng cách sử dụng "parent_id" để liên kết cả hai tài khoản với nhau, như sau:
Có nghĩa là với dữ liệu bổ sung được bảo mật trong vụ vi phạm, mỗi đứa trẻ có thể được ghép nối với cha mẹ của chúng một cách đơn giản, tiết lộ địa chỉ của chúng cùng với hàng loạt thông tin cá nhân khác.
Thay đổi điều khoản
Vì chúng ta thường xuyên phải đối mặt với các thỏa thuận người dùng kéo dài, các tuyên bố về quyền riêng tư, các thay đổi đối với các điều khoản và điều kiện của các trang web, trò chơi, dịch vụ, v.v., nên tất cả chúng ta đều cảm thấy hơi phiến diện với ngôn ngữ được sử dụng. Tôi hoàn toàn không thể đếm số lượng T&C mà tôi đã nhấp qua và tự hỏi liệu có lúc nào đó tôi đã ký hết hồn hay không.
Bạn sẽ nghĩ rằng phản ứng tiêu chuẩn đối với một vi phạm dữ liệu lớn là một cuộc điều tra mạnh mẽ về bất kỳ và tất cả các thiếu sót về bảo mật, có lẽ hoan nghênh công việc đã được hoàn thành bởi các chuyên gia bảo mật thông tin đang cố gắng bảo vệ dữ liệu nhạy cảm liên quan đến trẻ em.
Không dành cho VTech.
Thay vào đó, họ đã cập nhật các điều khoản và điều kiện của mình bằng các thuật ngữ rõ ràng khó nghe. Trong phần có tiêu đề Giới hạn trách nhiệm pháp lý , điều khoản đọc:
"Bạn thừa nhận và đồng ý rằng bất kỳ thông tin nào bạn gửi hoặc nhận trong quá trình sử dụng trang web có thể không được bảo mật và có thể bị chặn hoặc sau đó bị các bên trái phép thu thập"
Tôi xin lỗi. Gì? Người dùng đồng ý không tức giận hay quy trách nhiệm cho công ty nếu họ bị hack một lần nữa? Vào năm 2016, cách mà bất kỳ công ty nào quảng bá bất kỳ hình thức thiết bị nối mạng nào có trách nhiệm có thể chuyển gánh nặng trách nhiệm lên người dùng của họ trong trường hợp họ đang tích cực tìm kiếm thông tin nhạy cảm nằm ngoài tôi.
Đã giải quyết?
Không đời nào. Ngay cả trước những trò tai quái dựa trên điều khoản và điều kiện của họ, Văn phòng Ủy viên Thông tin của Vương quốc Anh vẫn đang điều tra vụ vi phạm dữ liệu, cùng với nhiều khu vực pháp lý của Tiểu bang Hoa Kỳ. Tương tự, ngay sau khi vi phạm xảy ra, Ủy viên quyền riêng tư Hong Kong Stephen Wong xác nhận văn phòng của ông đã bắt đầu "kiểm tra tính tuân thủ" đối với VTech để đánh giá xem công ty có tuân thủ các nguyên tắc bảo mật cơ bản hay không.
Khi tôi viết bài này, Văn phòng Ủy viên Thông tin Vương quốc Anh xác nhận rằng các điều khoản và điều kiện mới sẽ trái với luật hiện hành của Vương quốc Anh, nêu rõ:
"Luật pháp quy định rõ ràng rằng các tổ chức xử lý dữ liệu cá nhân của mọi người có trách nhiệm giữ an toàn cho dữ liệu đó"
Bạn nên làm gì?
Thành thật mà nói, cho đến khi VTech được chứng minh là đã đại tu đáng kể hoạt động bảo mật của họ, không sử dụng sản phẩm của họ, bao gồm cả trang web của họ.
Trong tương lai, trước khi mua bất kỳ đồ chơi trẻ em được nối mạng nào, bạn nên thận trọng chạy tìm kiếm nhanh "[tên sản phẩm / tên công ty] + bảo mật" hoặc bạn có thể thử "[tên sản phẩm / tên công ty] + hack / vi phạm dữ liệu". Bất kỳ sự kết hợp nào trong số đó sẽ nhanh chóng minh họa cho tình trạng an ninh của sản phẩm mà bạn sắp giao cho con mình.
Vi phạm an ninh sẽ xảy ra. Chúng ta đang sống trong một thế giới số hóa hàng loạt, chia sẻ thông tin nhạy cảm trên một số lượng lớn các trang web. Tuy nhiên, chúng ta không cần phải tự đưa mình vào đường cùng và bình đẳng, chúng ta có quyền mong đợi một mức độ tôn trọng đối với quyền riêng tư của dữ liệu cá nhân của chúng ta - chứ đừng nói đến con cái của chúng ta.
Bị ảnh hưởng bởi vi phạm VTech? Hay bạn có thể đồng cảm với một người sản xuất đồ chơi trong thế giới mạng và an ninh thông tin? Hãy cho chúng tôi biết bên dưới!