U najvećem hakerskom napadu na djecu ukradeni su privatni podaci 6,4 milijuna mališana (i haker se javio)
SAD otvara istragu o tvrtki VTech iz Hong Konga kroz čiji su tablet za djecu hakeri provalili
Američke vlasti otvorile su istragu o proizvođaču igračaka VTech iz Hong Konga zbog najvećeg hakerskog napada na djecu u povijesti, u kojemu su ukradeni privatni podaci o 6,4 milijuna mališana, uključujući fotografije i adrese.
Državna odvjetništva Connecticuta i Illinoisa potvrdila su da istražuju hakerski upad, u kojemu su ukradeni i osobni podaci 4,9 milijuna odraslih osoba. Hakeri su u VTech upali preko kompanijskog portala s kojega su milijuni korisnika skidali igrice. Hakeri su po svoj prilici iskoristili dvije goleme sigurnosne slabosti VTechova Inno Tab Max tableta za djecu i kompanija, kako piše Forbes, trenutno odbija reći je li uopće imala stručni tim za sigurnost. Iz korisničke baze podataka ukradeno je sve, čak sadržaj chatova.
More trouble for VTech: two glaring vulnerabilities found in its InnoTab Max tablet for kids https://t.co/jWUPf7A7g7 pic.twitter.com/9NGr38wm0z
— Forbes Tech (@ForbesTech) December 2, 2015
Osobni podaci korisnika nisu bili enkriptirani, čak ni imena, mail adrese, šifre, tajna pitanja i odgovori za obnavljanje šifri, IP adrese, poštanske adrese, povijest downloada, imena djece, datumi rođenja…ništa nije bilo zaštićeno i uprava VTecha to je odmah priznala istražiteljima. Glasnogovornik državnog odvjetništva Connecticuta izjavio je: “Otkriće razmjera ovog upada je uznemirujuće.”
Haker tvrdi da je htio upozoriti na propuste
Novinar Lorenzo Franceschi-Bicchierai na portalu Motherboard napisao je da mu se u studenom javio jedan od hakera koji je provalio u VTech. Želio je ostati anoniman. Rekao je da ima zanimljive podatke sa servera kompanije koja proizvodi dječje tablete. Rekao je da je kompanija kriva za upad jer joj je sigurnost servera “sranje”.
Otkrio je da je riječ o VTechu i poslao novinaru neke podatke. Siguronosni stručnjak Troy Hunt analizirao je podatke za Motherboard kako bi mogli sve prijaviti i pomoći žrtvama napada.
Haker je, piše Franceschi-Bicchierai, tvrdio da nema namjeru prodavati podatke. Rekao je da je provalio na VTechove servere kako bi razotkrio njihov nemar prema sigurnosti djece. Sve je navodno počelo u rujnu kad je haker na jednom forumu slučajno naišao na raspravu o hakiranju VTechova tableta za djecu, tvrdi da se pričalo o uglavnom o zabavi, primjerice, jedan je čovjek pričao kako je na taj tablet uspio instalirati Doom.
We spoke to the VTech hacker about why he hacked the children's toy maker: https://t.co/dKbQsHrft3 pic.twitter.com/GyoBRWjbx3
— Motherboard (@motherboard) December 2, 2015
Pričalo se i o VTechovu web servisu preko kojega upravljaju svim proizvodima. To je zaintrigiralo hakera pa je idućih nekoliko tjedna istraživao i pronašao jednu od mnogih VTechovih stranica, planetvtech.com. Primijetio je da stranica koristi Flash i ima boks sa logiranje. Brzo je otkrio da je ranjiva na prastaru ali još učinkovitu hakersku tehniku poznatu kao SQL injekcija. Brzo je osigurao maksimalnu razinu administratorskog pristupa serveru i shvatio da može doslovno raditi što hoće.
Počeo je nasumce pretraživati, prelazio na druge VTechove servere i nalazio podatke. U jednom trenutku, rekao je, pronašao je dvije baze podataka s osobnim podacima milijuna roditelja i tisuća djece. Tada je shvatio koliko je njegova provala ozbiljna. Tada se obratio novinaru, radije nego VTechu jer je mislio da ga uprava neće ozbiljno shvatiti i da će možda pokušati prikriti upad. S obzirom da se suočio s gotovo nepostojećim sustavom sigurnosti na njihovim serverima, bojao se da ne počnu upadati drugi hakeri ili da su već unutra. “Sve je ukazivalo na to da nisam jedini izvana koji ima pristup VTechovim podacima”, rekao je za Motherboard. Htio je da se to što prije riješi.
Nastavit će upade da provjere ima li još propusta
Motherboard je odmah upozorio VTech da je provaljen i kompanija je prošlog tjedna javno priznala upad. Vijesti su se brzo proširile, dionice su im se urušile, ali priča tu ne prestaje, barem što se tiče hakera koji je sve započeo. On tvrdi da “je tamo zasigurno još na tone problema koje treba pronaći” i da ih je on voljan tražiti čim se VTech vrati online. Kompanija je, naime, skinula nekoliko svojih stranica i servisa sa servera.
U sve je uključen i hongkonški povjerenik za privatnost Stephen Wong čiji je ured počeo istragu o VTechu zbog sumnje da se ne pridržavaju propisa o zaštiti privatnih podataka. Sigurnosni stručnjaci nadaju se da će veličina ovog napada potaknuti države na jači nadzor proizvođača igračaka, budući da imaju posebno ranjivu publiku a internetska sigurnost im nije ekspertiza.
Također, ovo bi trebalo biti upozorenje roditeljima da moraju biti oprezniji. Ukradeni podaci o kreditnim karticama i osobni podaci na internetu se prodaju za 10 kuna po komadu, a fotografije djece i tinejdžera na darkwebu postižu bitno veće vrijednosti, pa stručnjaci upozoravaju da taj problem trenutno ne dobiva ni približno onoliku pažnju državnih agencija koliku bi trebao imati.