Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties

Een hacker heeft op zaterdag 14 november toegang weten te krijgen tot het klantenbestand van de VTech Learning Lodge. Het bedrijf zegt dat de database namen, e-mailadressen, versleutelde wachtwoorden, geheime vragen & antwoorden, ip-adressen en postadressen bevat.

In een statement benadrukt VTech dat de database geen creditcardgegevens en persoonsgegevens als het bsn of het Rijksregisternummer bevat. Zaken als betalingen aan het bedrijf worden namelijk via de website van een derde partij afgehandeld. Het bedrijf heeft de digitale inbraak op 24 november ontdekt en zegt inmiddels een uitgebreid onderzoek te hebben verricht en de nodige maatregelen te hebben getroffen om de beveiligingsgaten die de aanvaller gebruikte te dichten. De database bevat onder meer de gegevens van Amerikaanse, Nederlandse en Belgische klanten.

De Vtech Learning Lodge is een online portaal waar gebruikers zaken als apps, ebooks, educatieve spelletjes en andere leermaterialen kunnen downloaden. Deze zijn speciaal bedoeld voor de camera's, smartwatches, tablets, smartphones en andere smart devices die het bedrijf speciaal voor kinderen maakt. Het is niet duidelijk van hoeveel klanten de gegevens precies in de database van de Learning Lodge zitten. Ook spreek het Chinese bedrijf er alleen van dat een buitenstaander toegang heeft weten te krijgen tot de Learning Lodge-database. Het bedrijf doet geen uitspraken over een eventuele daadwerkelijke diefstal van de gegevens. Ook is niet bekend hoe sterk de versleuteling op de wachtwoorden is.

Update, 21:48: Motherboard zegt contact te hebben gehad met de hacker die verantwoordelijk is voor de datadiefstal. De gegevens van 4.833.678 ouders en meer dan 200.000 kinderen zouden in handen zijn van de hacker. Aan de hand van de data kunnen ouders gelinkt worden aan kinderen en hun adressen, volgens een deskundige. Het zou het op vier na grootste datalek aller tijden zijn. Ook zou de hacker niets van plan zijn met de data en zou de versleuteling op de wachtwoorden zwak zijn. Het binnendringen ging via SQL-injectie. 
 

VTech producten

Gerelateerde content

Alle gerelateerde content (20)
Moderatie-faq Wijzig weergave

Reacties (38)

Hier kreeg ik een mailtje over vanmiddag idd. Wilde 'm submitten maar hij stond al in de queue.

Kopie van mailtje: http://pastebin.com/raw.php?i=y2KH6V53
Interessant artikel hierover: http://www.troyhunt.com/2...-breached-inside.html?m=1

Wachtwoorden zijn enkel met md5 gehashed..
Ben ik de enigste die dit nog al vreemd vind?
Bovendien bevat onze database GEEN persoonlijke identificatiegegevens (zoals paspoortnummer, sofinummer, burgerservicenummer (BSN) of rijbewijsnummer).
Waarom benadrukt VTech dit?
Waarom zou VTech uberhaupt deze gegevens van kinderen hebben?
Inderdaad! Dit is het meest vreemde van dit artikel. Een bedrijf als vtech heeft echt geen enkele reden om uberhaupt met dat soort gegevens om te gaan.

Maar als ze het zo specifiek vermelden, hebben ze deze gegevens dan wel tot hun beschikking?

Ouders en kinderen daar gelaten, het is gewoon een simpele app store die ze hebben. Een simpel email adres en wachtwoordje is meer dan voldoende.

[Reactie gewijzigd door MenN op 27 november 2015 23:49]

Vtech heeft die gegevens ook niet. Is enkel om te voorkomen dat mensen bang zijn dat dergelijke gegevens misschien gehackt zijn.
Maar waarom zouden menen bang zijn dat die gegevens gehakt zijn als ze die nooit hebben hoeven opgeven. Kun je net zo goed vermelden dat ze ook niet de sleutel van je voordeur niet hebben gejat. 8)7 En dat de kat van de buren ook ok is.
Ja dat is voor jouw duidelijk, maar niet voor iedereen is het duidelijk. Die schieten zodanig in de stress, dat ze ieder wildwest verhaal geloven. En daadwerkelijk denken dat hackers hun creditkaart gegevens hebben. Terwijl later blijkt dat ze zelf helemaal geen creditkaart hebben.
Ik lag strijk van het lachen bij je laatste zin.
In dit geval gaat het veelal om volwassenen (de ouders).

De doelgroep van VTech is over het algemeen nog te jong om zelf met de desbetreffende website overweg te kunnen ;).

De ouders kunnen echter inloggen (of de desktop applicatie van VTech gebruiken) en boeken, filmpjes, spelletjes enz kopen.
En ook die gegevens van de ouders hoeven ze niet te hebben.
Waarom benadrukt VTech dit?
om mensen gerust te stellen uiteraard
Heb ook de mail gehad, gelukkig had ik de registratie uitgevoerd met een gmail account dat ik enkel voor dit soort onzin gebruik. Toch zou ik graag willen weten wat er allemaal gelekt werd. Is er een manier om dit na te gaan? Ik vindd zelfs niet meer waar ik kan inloggen op vtech
Heb ook een mail gehad van VTech. Wat mij vooral opvalt is dat er op geen enkele manier een verontschuldiging wordt gedaan. Te zot voor woorden! Vijf miljoen accounts... Maar een 'sorry' is ver te zoeken.
Niets is meer heilig. Is er bekend wat het motief hier was?
Merendeels zoeken naar lekke beveiliging en de eer opstrijken dat hacker Y bedrijf X heeft gehacked. Ik vind de nieuwswaarde niet zo interessant op Tweakers.net eerlijk gezegd.

Als je maar hard genoeg zoekt kan je vele websites op het internet defacen en de eer opstrijken. Het probleem ligt 'm eerder in de zwakke beveiliging van bedrijven en / of dat zij veelal applicaties uitbesteden aan lage loonlanden.
Misschien willen de hackers vooral duidelijk maken dat de bedrijven hun beveiliging op orde hebben ;).
Je hoort helaas nooit bedrijf x is niet te hacken.
Helaas niet. Alles is te hacken, wat wordt aangestuurd door een computer. Ook Google en Microsoft zijn hackbaar. Zolang je er maar genoeg kracht tegenaan gooit.. kan tientallen jaren duren, maarja..
Waarom wordt er altijd beredeneert vanuit "brute force". Zo van ja, de computers zijn nu nog niet snel genoeg ... maar over 10 jaar vast wel, grote onzin :9

De meeste keren dat een bedrijf gehackt wordt is vanwege phishing, lekke applicaties en slechte beveiliging (standaard wachtwoorden, open poorten etc.). Als je kwaad wil en het bedrijf heeft wel moeite gedaan de boel dicht te timmeren dan pak je de werknemers aan als zwakste schakel of dan ga je gewoon bij zo'n bedrijf solliciteren... beetje ala Snowden.
Nieuwswaarde hier is voornamelijk als waarschuwing voor mogelijke klanten van die club. Dan kun je de zelf actie ondernemen.
Het bedrijf zegt dat de database namen, e-mailadressen, versleutelde wachtwoorden, geheime vragen & antwoorden, ip-adressen en postadressen bevat.
De wachtwoorden zijn misschien onbruikbaar, geheime vragen & antwoorden worden vaak (meestal?) op andere sites ook gebruikt. Dus zijn nuttige informatie om te hebben, vooral in combinatie met de gebruikersnamen.
Echte email adressen zijn vast nog wat waard voor spammers.
Geheime vragen zijn een accident waiting to happen.
De email-adressen is vaak waar het om gaat, actuele databases verkopen prima aan spammers. Voor de rest is de informatie niet zo heel interessant, hooguit voor het eisen van een geldbedrag voor het niet publiek maken.
Met mazzel kan je de wws op email adressen en dergelijk gebruiken.
Ik denk dat zit soort bedrijven eerder target zijn dan je denkt. De ouders van de eigenaren van deze producten worden als kapitaalkrachtiger gezien, en gezien dat veel mensen voor veel sites de zelfde wachtwoorden gebruiken is de informatie best waardevol.
Vermoedelijk een kindje (kan > 18 jaar zijn, mentaliteit is kinds), die graag aandacht wilt en opzoekt.
Hoewel ze dan meestal proberen iets te defacen, maar wellicht was hij niet zo ver gekomen. (of zij, maar vrouwen zoeken meestal op andere manier naar aandacht)

Het zal wel gaan om een of ander extra programmaatje, die ergens tussendoor door een extern ontwikkeld is en iets te open stond.

Ik heb heel erg het idee, dat een gedeelte van de informatie in dit artikel ontbreekt.

Verder zou afpersing een motivatie kunnen zijn, maar ik verwacht dat dat dan in dit artikel genoemd wordt. (Misschien houdt VTech dat stil)
Ach, het kan ook best om de website van VTech zelf gaan.

De site werkt prima (ik gebruik 'm wel eens, want mijn kinderen hebben deze), maar is niet echt hypermodernhip. Er kan best ergens een SQL injectie mogelijk geweest zijn of iets dergelijks.

Daarnaast is er een desktop applicatie die communiceert met een API. Daar kan ook iets mis geweest zijn. We weten het niet, en er is geen duidelijkheid over. ;)
Ik gebruik verschillende wachtwoorden op verschillende sites.
Hoeveel ouders heeft zo'n kind wel niet?
Misschien staan niet alle kinderen staan database, ander is het inderdaad een zooitje. :+
Waarom staan er kinderen in een database? De ouders kopen, niet het kind. Kinderen horen geen eigen inlog te hebben, ook niet op een educatief spelletje. Winst is voor die onderneming geen spelletje.

Een hackende pedo kan misschien heel veel met dit soort data.

Dit bedrijf heeft niets met kinderen te maken. Kinderen moeten verborgen blijven achter de rokken van hun moeder.

Het zou wettelijk verboden moeten worden voor minderjarigen om eigen inloggegevens te hebben op websites.
Ik heb daar ook een account. Wij hebben een sprekende beer die de naam van je kind onthoudt en de geboortedatum etc. Daarvoor maak je een account aan en vul je de gegevens in zoals lievelingskleur, favoriet eten etc. Die kan je dan uploaden naar de beer.

Gelukkig gebruik ik hiervoor random wachtwoorden maar dat er een IP adres gekoppeld kan worden aan mijn naam en adres maak ik mij wel zorgen over.

Ik weet niet goed wat ik hiermee moet.
Jou primaire zorg en verantwoordelijkheid als ouder wordt geacht je kind te zijn.

Dit is een zaak van de zwaarte van de gevoelde verantwoordelijkheid dan wel het schipperen daarmee. Het is het verhaal dat je jezelf verteld dat voor de bestwil van je kind, bijvoorbeeld dat deze website educatief is, je een zeker gecalculeerd risico kunt nemen.

Ik denk dat het een fout verhaal is. Ik zie niet waarom een website cruciaal is voor de educatie en opvoeding va je kind en waarom je als ouder bereid bent risico's te aanvaarden. Er zijn talloze manieren om kinderen iets te leren en dat we nu in een informatietijdperk leven met de risico's van dien ontslaat geen ouder van de verantwoordelijkheid om het kind te beschermen.

Er zijn 'harde grenzen' in de wereld, die niet rekbaar zijn naar gelang de omstandigheden. Een kind een keer te vet laten eten kan incidenteel, maar een kind bloot stellen aan aantoonbaar en vrijwel te verwachten risico's vind ik nalatig.

We weten immers dat alle websites een keer gehackt worden. Niet de vraag 'of het gebeurt maar wanneer het gebeurt is relevant.

Technologie moet geen doel op zich worden waardoor je de baby met het badwater verliest.
Een hackende pedo kan misschien heel veel met dit soort data.
Okay, in hoeveel databases is er een koppeling van meerderjarigen met producten als baby voedsel, luiers, kinderwagens, kinderspeelgoed, ...

Hiermee kan een hackende pedo ook van alles.
Juist. Dus? Wat is je conclusie?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True