Heutzutage sollen ja bereits die Kleinsten immer online und in der Cloud aktiv sein. Ach ja, und sprechende bzw. zuhörende Puppen sollen der Renner zu Weihnachten werden. Eine gute Idee? Heute im Angebot: Der VTech-Hack (unglaubliche Schlamperei) sowie Barbie-Puppen als Abhöranlage.
Anzeige
Zumindest aus Sicherheits-Aspekten nimmt momentan die Zahl der Schnapsideen gefühlt sprunghaft zu. Kein Tag ohne ein zwei Hacks oder aufgedeckte gravierende Sicherheitslücken. Laut diesem Artikel steigt zwar die Sorge vor Cyber-Kriminalität bei Verbrauchern weltweit – aber die Anzahl der "Verbraucher, die recht blond unterm Pony sind" ist gefühlt doch noch erschreckend hoch. Da wird auf alles geklickt, was bei Drei nicht vom Screen verschwunden ist. Hier mal ein paar Infos, wo es wieder brennt.
VTech-Hack: 5 Millionen Datensätze erbeutet
Es ist nur eine kleine Meldung, die ich vor ein paar Tagen bei vice.com in diesem Artikel gelesen habe. Hacker sind in die Server des chinesischen Anbieters VTechToys eingedrungen und habe die Daten von knapp 5 Millionen Eltern und mehr als 200.000 Kindern erbeutet. Zu den erbeuteten Daten gehören Geschlecht, Geburtsdatum, der Familienname und die Postanschrift. Die Daten kursieren nun im Internet. [Update: Laut diesem Artikel ist der Hack größer als vermutet, es sind sensible Daten von 6,4 Millionen Kindern und über 4,8 Millionen Eltern.]
Der Angriff erfolgte über den Download-Manager des App Store-Zugangs, der wohl eine Zugriff auf die Kundendatenbank ermöglichte. Ein paar Details finden sich in dieser VTech-Pressemitteilung (englisch). So manchen Zeitgenossen schießt möglicherweise die Frage "was interessiert mich, wenn ein chinesischer Hersteller gehackt wird" durch den Kopf. Aber VTech ist ein Hersteller von Spielzeug- und Lernsoftware, der auch im deutschsprachigen Raum (als VTech Electronics Europe GmbH, registriert in Filderstadt) vertreten ist.
Und die VTech-Software bietet wohl App-Downloads, eBooks, Lernsoftware etc. an, so dass praktisch jeder Käufer eines intelligenten Produkts dieses Herstellers registriert sein wird. Im logischen Schluss dürften also einige deutschsprachige Käufer von VTech-Produkten betroffen sein.
Anzeige
Betroffene Kunden wurden zwar per E-Mail über den Angriff, der am 14. November 2016 auffiel, informiert. Aber der Schaden ist da! Und es wird mysteriös: Der Hersteller gibt laut diesem deutschsprachigen Artikel bei heise.de an, dass die in der Kundendatenbank enthaltenen Namen, E-Mail-Adressen, verschlüsselte Passwörter, sowie weitere Daten nicht erbeutet wurden. Aber warum dann die Warnung – irgend etwas ist da faul. Laut diesem heise.de-Foreneintrag ist die Mail zu spät und mit wenig hilfreichen Informationen eingetroffen ("die Daten durch V-Tech an unbefugte Dritte weitergegeben wurden"). Die deutschsprachige VTech-Webseite ist offline.
Eine recht ausführliche Analyse findet sich bei Troy Hunt (englisch). Aus den Passwörtern wurden lediglich die MD5-Hash-Werte ermittelt und in der Datenbank gespeichert. Bei der Eingabe des Passworts wird dann der MD5-Hash-Wert geprüft. Problem: Aus dem MD5-Hash-Wert lässt sich das ursprüngliche Passwort meist ermitteln – Troy Hunt zeigt das in seinem Artikel. Auf der Seite kann man eine E-Mail-Adresse eingeben, um herauszufinden, ob diese von einem Hack betroffen ist.
Hier bleibt in meinen Augen nur Schadensbegrenzung: das VTech-Konto des Kindes löschen (das geht). Falls der Spam am E-Mail-Konto des Kindes zunimmt, dieses auflösen – damit das potentielle Einfallstor für Spam und Schadsoftware nicht mehr existiert. Und zukünftig diese Aktionen tunlichst unterlassen.
Fazit: Die (in meinen Augen) Dumpfbacken in der Elternschaft feiern nicht nur (als Entscheider) in Firmen sondern auch im Kinderzimmer fröhliche Urstände und sind dann entsetzt, dass eine "kinderfreundliche" Website gehackt werden kann. Dazu auch passend die Frage "Was kann ich als Besoffener tun" bei heise.de im Forum. Da fällt mir nichts mehr ein.
Hello Barbie gehackt …
Es gibt von Mattel eine Barbie-Puppe mit eingebautem Mikrofon und WLAN-Anschluss. Ist an sich (in meinen Augen schon hirnrissig). Jetzt kommt raus, wie krude so was ist: Ein Kryptologe, Matt Jakubowski, hat die Barbie-Puppe mal unter die Lupe genommen. Über die WLAN-Funktion konnte er auf Account-IDs, Audiodaten sowie das Mikrofon und den Netzwerknamen zugreifen. Quais die perfekte Abhöranlage im Kinderzimmer. Wer sich dafür interessiert, bei heise.de gibt es ein paar Infos.
Anzeige
"Dazu auch passend die Frage "Was kann ich als Besoffener tun" bei heise.de im Forum."
…ein passend, netter Tippfehler *schmunzel*
So lange wirtschaftliche Interessen vor Sicherheit gesehen werden, bei egal welchem Unternehmen, sind Clound Dienste so sicher wie Atomkraftwerke.
Theoretisch hört sich beides nett und gut an…
War kein Tippfehler ;-).
Nachtrag: Troy Hunt hat mal ein wenig aus dem Nähkästchen geplaudert – war wohl Schlamperei hoch Drei, was zum Hack beitrug.
Kleiner Nachtrag: Laut diesem heise.de-Artikel kann man auf einer Webseite prüfen, ob man vom VTech-Hack betroffen ist.
Und hier hat heise.de nochmals nachgelegt – der Datenklau war wohl größer als zugegeben.