Sécurité

Le piratage de VTech expose les informations personnelles de 5 millions d’adultes et d’enfants – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Un autre jour, un autre massif violation de données impliquant les données personnelles de millions de personnes sans méfiance. C’est un peu différent cette fois, cependant. Le fabricant d’électronique et de jouets VTech a fermé sa boutique d’applications familiale Learning Lodge après que des attaquants aient réussi à accéder aux informations de compte de près de cinq millions d’adultes et d’enfants qui s’étaient inscrits au service.

Les jouets pour enfants de VTech, basés à Hong Kong, comprennent diverses versions jouets de tablettes, d’ordinateurs portables et même de montres intelligentes. Ils sont tous positionnés comme des jouets éducatifs et incluent l’intégration avec la boutique d’applications VTech Learning Lodge pour la personnalisation et de nouveaux applications. En fait, pour apporter à peu près n’importe quelle modification au logiciel inclus, les parents doivent créer un compte Learning Lodge, en créant une connexion pour eux-mêmes et leur progéniture.

Les données collectées par VTech varient un peu en fonction du site utilisé pour s’inscrire (il existe plusieurs portails différents pour créer un compte VTech). C’est ici que se trouve le problème. Il s’avère que VTech ne faisait pas un très bon travail pour sécuriser les données de ce compte. Selon la société, les pirates ont réussi à accéder aux noms, aux adresses e-mail, à l’adresse personnelle, à l’adresse IP, à l’historique des téléchargements et aux questions et réponses sur la récupération du mot de passe. Sont concernés les consommateurs aux États-Unis, au Royaume-Uni, au Canada, en Allemagne, en Chine et dans un certain nombre d’autres régions.

Psssssst :  Les mises à jour de Windows 10 seront obligatoires pour les utilisateurs à domicile - seuls les clients d'entreprise bénéficient d'un report à long terme - High-teK.ca

VTech dit avoir contacté tous les clients concernés, mais il ne peut pas faire grand-chose d’autre que hausser les épaules et présenter des excuses. Au moins, VTech n’a pas les détails de paiement, car sinon ceux-ci auraient probablement également été divulgués. Cependant, c’est peut-être pour cette raison que VTech n’a pas pris suffisamment au sérieux la sécurité de sa base de données.

pirater vtech

La brèche s’est produite le 14 novembre et a été décomposé en détail exhaustif par le chercheur en sécurité Troy Hunt. Les données volées contiennent un fichier CSV standard avec 4 862 625 lignes (une pour chaque compte d’utilisateur) avec des en-têtes de colonne comme email, first_name, last_name, secret_question, secret_answer et mot de passe crypté. Vous pensez peut-être : « Oh, bien… au moins les mots de passe étaient cryptés. Malheureusement, ce n’est qu’un simple hachage MD5 qui peut être craqué en un rien de temps. Tout le reste est en texte brut, ce qui est insensé. D’autres CSV contiennent des données sur les enfants avec des identifiants qui les connectent aux comptes parents, qui ont des données supplémentaires.

Il s’agit d’une erreur importante pour VTech, et la fermeture de son app store ne réparera pas les dégâts. Il ne prenait pas la sécurité suffisamment au sérieux, probablement parce qu’il ne fabriquait « que » des jouets pour enfants. Ils n’ont même pas pris la peine d’utiliser SSL. Toutefois, les renseignements personnels sont toujours personnelet maintenant beaucoup plus circulent sur Internet.

Bouton retour en haut de la page