어린이용 전자 학습 제품 공급업체인 VTech에게는 격동의 시간이었습니다. 홍콩에 기반을 둔 이 회사는 직접 시장 경쟁자인 LeapFrog에 대한 인수 계획을 발표했습니다. 7,200만 달러에 시장 점유율을 대폭 확대하고 어린이 전자 학습 제품의 최고의 개발자이자 공급업체로 자리매김했습니다. 불행히도, 일주일은 계획대로 계속되지 않았습니다.
VTech는 2015년 대규모 해킹 이후 약관을 업데이트하여 두 번 생각할 필요도 없이 부모와 보호자에게 책임을 노골적으로 전가했습니다.
그들은 무엇을 변경 했습니까? 그들이 확보한 것은 무엇입니까? 무엇을 해야 합니까?
VTech에 무슨 일이?
VTech는 지난 11월에 해킹당했으며 공격자는 400만 개 이상의 성인 계정과 600만 개 이상의 어린이 계정 데이터를 탈취했습니다. 해킹은 이름, 이메일 주소, 비밀번호, 비밀 질문과 답변, IP 주소, 우편 주소, 다운로드 기록을 포함한 손상된 각 계정의 개인 데이터를 노출했습니다. 뿐만 아니라 VTech의 앱 스토어 데이터베이스인 Learning Lodge도 손상되었습니다.
여기에서 채팅 로그, 개인 오디오 파일 및 사진을 포함한 데이터가 손상되었으며 많은 부분이 장치를 사용하는 어린이의 직접적인 소유였습니다.
취약점
해킹은 처음에 Lorenzo Bicchierai가 Vice 매거진의 기술 중심 마더보드에 기고한 내용으로 폭로되었습니다. 출판. 초기 기사가 게시된 후 Bicchierai는 해킹을 수행했다고 주장하는 개인으로부터 연락을 받았고, 확인을 위해 저널리스트에게 민감한 사진을 제공했습니다.
그런 다음 Bicchierai는 정보 보안 전문가 Troy Hunt를 초대하여 제공된 데이터를 분석하여 누출이 사기가 아니라 합법적인지 확인했습니다. 확인 후 Hunt는 데이터를 추가로 분석하고 VTech에 영향을 미치는 취약성에 대한 세부 정보를 게시했습니다. Hunt가 발견한 취약점은 끔찍했습니다.
개체 참조 결함은 사용자가 URL을 통해 다른 사람의 계정에 쉽게 액세스할 수 있음을 의미했으며 전체 호스트 시스템은 모든 형태의 SQL 주입에 매우 민감했으며 다음이 있었습니다.
<블록 인용>"어디에나 SSL은 없습니다... 암호, 부모의 세부 정보 및 자녀에 대한 민감한 정보가 전송될 때를 포함하여 모든 통신은 암호화되지 않은 연결을 통해 이루어집니다."
그는 또한 단순한 MD5 해시로 "암호화"된 비밀번호를 발견했습니다. 솔팅이 없거나 고급 해싱 알고리즘이 보이지 않습니다. 즉, 약간 고급 컴퓨팅 기술을 가진 사람도 짧은 시간 안에 암호를 해독할 수 있음을 의미합니다.
또한 비밀 질문과 답변은 추가 보안 조치 없이 일반 텍스트로 저장되었습니다. Hunt는 또한 "당신이 가장 좋아하는 색은 무엇입니까?"와 같은 보안 질문의 품질이 좋지 않다고 지적했습니다. 또는 "당신은 어디에서 태어났습니까?" 및 기타 똑같이 쉽게 발견할 수 있는 정보입니다.
하위 사용자
부모가 성인 계정을 만들면 자녀 계정을 만들 수 있습니다. 각 어린이 계정은 성인 계정과 직접 연결되며 자신의 아바타, 생년월일, 성별을 추가할 수 있습니다.
그런 다음 데이터는 "parent_id"를 사용하여 자체 참조 테이블에 저장되어 다음과 같이 두 계정을 함께 연결합니다.
침해로 확보된 추가 데이터를 사용하면 모든 어린이가 단순히 부모와 연결되어 다른 개인 정보와 함께 주소를 공개할 수 있습니다.
약관 변경
우리는 긴 사용자 계약, 개인 정보 보호 정책, 웹사이트, 게임, 서비스 등의 이용 약관 변경과 같은 문제에 자주 직면하면서 사용되는 언어에 대해 약간 모욕감을 느꼈습니다. 나는 내가 클릭한 T&C의 양을 절대 셀 수 없으며, 어느 시점에서 내가 내 영혼에 서명했는지 궁금합니다.
주요 데이터 침해에 대한 표준 대응은 모든 보안 결점에 대한 강력한 조사이며, 아마도 어린이와 관련된 민감한 데이터를 보호하려는 정보 보안 전문가가 이미 완료한 작업을 환영하는 것이라고 생각할 것입니다.
VTech용이 아닙니다.
대신, 그들은 분명히 불쾌한 용어로 이용 약관을 업데이트했습니다. 책임의 제한이라는 제목의 섹션에서 , 용어 읽기:
<블록 인용>"귀하는 사이트를 사용하는 동안 보내거나 받는 모든 정보가 안전하지 않을 수 있고 가로채거나 나중에 승인되지 않은 당사자가 획득할 수 있음을 인정하고 동의합니다."
죄송합니다. 뭐라고요? 사용자는 다시 해킹을 당하더라도 화를 내지 않거나 회사에 책임을 묻지 않는다는 데 동의합니까? 2016년에 어떤 형태의 네트워크 장치든 책임감 있게 홍보하는 회사가 민감한 정보를 적극적으로 찾는 시나리오에서 사용자에게 책임의 부담을 전가할 수 있는 방법은 저 밖에 없습니다.
사면?
안 돼요. 약관에 기반한 속임수 이전에도 영국 정보 위원회는 여러 미국 주 관할 구역과 함께 데이터 유출을 조사하고 있었습니다. 마찬가지로, 침해 직후 홍콩 개인정보 보호 위원 Stephen Wong은 VTech가 기본 보안 원칙을 준수했는지 평가하기 위해 자신의 사무실이 VTech에 대한 "준수 확인"을 시작했음을 확인했습니다.
이 기사를 작성하는 동안 UK Information Commissioners Office는 다음과 같이 새 이용약관이 현행 영국 법률을 위반함을 확인했습니다.
<블록 인용>"법률은 개인 데이터를 안전하게 보호할 책임이 있는 사람의 개인 데이터를 처리하는 조직임이 분명합니다."
무엇을 해야 합니까?
솔직히 말해서 VTech가 보안 작업을 상당히 정밀하게 점검한 것으로 입증될 때까지 웹사이트를 포함한 제품을 사용하지 마십시오.
앞으로 네트워크로 연결된 어린이 장난감을 구매하기 전에 "[제품 이름/회사 이름]+보안" 검색을 빠르게 실행하거나 "[제품 이름/회사 이름]+해킹/데이터 유출"을 시도하는 것이 현명할 것입니다. 이러한 조합은 자녀에게 전달하려는 제품의 보안 안정성을 빠르게 보여줍니다.
보안 침해가 발생합니다. 우리는 엄청나게 디지털화된 세상에 살고 있으며 수많은 사이트에서 민감한 정보를 공유하고 있습니다. 그러나 우리는 스스로를 희생양으로 삼을 필요가 없으며, 마찬가지로 우리는 자녀는 고사하고 개인 데이터의 프라이버시를 어느 정도 존중할 권리가 있습니다.
VTech 침해의 영향을 받습니까? 아니면 네트워킹 및 정보 보안 세계의 장난감 제조업체에 공감할 수 있습니까? 아래에 알려주세요!