Hacker steelt gegevens van meer dan 5 miljoen klanten VTech - update

Een hacker heeft op zaterdag 14 november toegang weten te krijgen tot het klantenbestand van de VTech Learning Lodge. Het bedrijf zegt dat de database namen, e-mailadressen, versleutelde wachtwoorden, geheime vragen & antwoorden, ip-adressen en postadressen bevat.

In een statement benadrukt VTech dat de database geen creditcardgegevens en persoonsgegevens als het bsn of het Rijksregisternummer bevat. Zaken als betalingen aan het bedrijf worden namelijk via de website van een derde partij afgehandeld. Het bedrijf heeft de digitale inbraak op 24 november ontdekt en zegt inmiddels een uitgebreid onderzoek te hebben verricht en de nodige maatregelen te hebben getroffen om de beveiligingsgaten die de aanvaller gebruikte te dichten. De database bevat onder meer de gegevens van Amerikaanse, Nederlandse en Belgische klanten.

De Vtech Learning Lodge is een online portaal waar gebruikers zaken als apps, ebooks, educatieve spelletjes en andere leermaterialen kunnen downloaden. Deze zijn speciaal bedoeld voor de camera's, smartwatches, tablets, smartphones en andere smart devices die het bedrijf speciaal voor kinderen maakt. Het is niet duidelijk van hoeveel klanten de gegevens precies in de database van de Learning Lodge zitten. Ook spreek het Chinese bedrijf er alleen van dat een buitenstaander toegang heeft weten te krijgen tot de Learning Lodge-database. Het bedrijf doet geen uitspraken over een eventuele daadwerkelijke diefstal van de gegevens. Ook is niet bekend hoe sterk de versleuteling op de wachtwoorden is.

Update, 21:48: Motherboard zegt contact te hebben gehad met de hacker die verantwoordelijk is voor de datadiefstal. De gegevens van 4.833.678 ouders en meer dan 200.000 kinderen zouden in handen zijn van de hacker. Aan de hand van de data kunnen ouders gelinkt worden aan kinderen en hun adressen, volgens een deskundige. Het zou het op vier na grootste datalek aller tijden zijn. Ook zou de hacker niets van plan zijn met de data en zou de versleuteling op de wachtwoorden zwak zijn. Het binnendringen ging via SQL-injectie.

Door Mark Hendrikman

Redacteur

Feedback • 27-11-2015 17:5838

27-11-2015 • 17:58

38 Linkedin

Lees meer

Brit bekent inbraak bij netwerk Microsoft met testversies Windows 10 Nieuws van 29 maart 2019
VTech betaalt 650.000 dollar aan FTC als schikking in datalekzaak Nieuws van 9 januari 2018
VTech dicht beveiligingslekken in kindertablet Nieuws van 8 december 2017
Duitse toezichthouder adviseert ouders 'connected' pop onschadelijk te maken Nieuws van 17 februari 2017
VTech wil dat gebruikers erkennen dat gegevens bij zijn dienst onveilig zijn Nieuws van 9 februari 2016
Persoonsgegevens 191 miljoen geregistreerde Amerikaanse kiezers lekken uit Nieuws van 28 december 2015
Lek bij Hello Kitty-fansite gedicht Nieuws van 23 december 2015
Gegevens 3,3 miljoen Hello Kitty-fans staan online na server-hack Nieuws van 21 december 2015
Britse man opgepakt in verband met VTech-hack Nieuws van 15 december 2015
Server van MacKeeper-scareware liet data 13 miljoen gebruikers uitlekken Nieuws van 14 december 2015
Lek bij Nexus Mods betreft een database-dump uit 2013 Nieuws van 8 december 2015
Verdachte .dll-bestanden Nexus Mods wijzen op mogelijke databasehack Nieuws van 7 december 2015
VTech-hack betrof profielen van 6,4 miljoen kinderen in plaats van 200.000 Nieuws van 2 december 2015
VTech-hacker kreeg ook foto's en chatlogs van speelgoedgebruikers in handen Nieuws van 1 december 2015
Hackers lijken creditcardgegevens buitgemaakt te hebben bij Britse provider Nieuws van 23 oktober 2015
Criminelen stelen gegevens klanten Amerikaanse tak T-Mobile bij hack Nieuws van 2 oktober 2015
CBP publiceert conceptrichtlijnen voor melden datalekken Nieuws van 21 september 2015
Brein eist dat Google data van aanbieder 'illegale e-books' afgeeft Nieuws van 14 september 2015
Opsporingsdiensten tapten in 2014 iets minder Xs4all-verbindingen af Nieuws van 31 augustus 2015
Directeur moederbedrijf Ashley Madison stapt op na desastreuze hack Nieuws van 28 augustus 2015
Ashley Madison looft beloning van 326.000 euro uit voor gouden tip over hack Nieuws van 24 augustus 2015
Eerste seeder van Ashley Madison-torrent was een Nederlandse server - update 2 Nieuws van 23 augustus 2015
Aanvallers stelen waarschijnlijk honderdduizend wachtwoorden bij Brabantia Nieuws van 5 juni 2015
KPN door ACM beboet vanwege onvoldoende beveiligen klantgegevens Nieuws van 2 juni 2015
Meer producten en artikelen
Privacy Bedrijfsnieuws Netwerk en systeembeheer Hack Hackers

Reacties (38)

-Moderatie-faq
38
35
28
2
0
0
Wijzig sortering
JapyDooge
27 november 2015 18:10
Hier kreeg ik een mailtje over vanmiddag idd. Wilde 'm submitten maar hij stond al in de queue.

Kopie van mailtje: http://pastebin.com/raw.php?i=y2KH6V53
Cereal
27 november 2015 21:17
Interessant artikel hierover: http://www.troyhunt.com/2...-breached-inside.html?m=1

Wachtwoorden zijn enkel met md5 gehashed..
wica
27 november 2015 19:42
Ben ik de enigste die dit nog al vreemd vind?
Bovendien bevat onze database GEEN persoonlijke identificatiegegevens (zoals paspoortnummer, sofinummer, burgerservicenummer (BSN) of rijbewijsnummer).
Waarom benadrukt VTech dit?
Waarom zou VTech uberhaupt deze gegevens van kinderen hebben?
MenN
@wica27 november 2015 23:47
Inderdaad! Dit is het meest vreemde van dit artikel. Een bedrijf als vtech heeft echt geen enkele reden om uberhaupt met dat soort gegevens om te gaan.

Maar als ze het zo specifiek vermelden, hebben ze deze gegevens dan wel tot hun beschikking?

Ouders en kinderen daar gelaten, het is gewoon een simpele app store die ze hebben. Een simpel email adres en wachtwoordje is meer dan voldoende.

[Reactie gewijzigd door MenN op 27 november 2015 23:49]

Phusebox
@MenN28 november 2015 08:59
Vtech heeft die gegevens ook niet. Is enkel om te voorkomen dat mensen bang zijn dat dergelijke gegevens misschien gehackt zijn.
MenN
@Phusebox28 november 2015 11:48
Maar waarom zouden menen bang zijn dat die gegevens gehakt zijn als ze die nooit hebben hoeven opgeven. Kun je net zo goed vermelden dat ze ook niet de sleutel van je voordeur niet hebben gejat. 8)7 En dat de kat van de buren ook ok is.
trisje
@MenN28 november 2015 12:56
Ja dat is voor jouw duidelijk, maar niet voor iedereen is het duidelijk. Die schieten zodanig in de stress, dat ze ieder wildwest verhaal geloven. En daadwerkelijk denken dat hackers hun creditkaart gegevens hebben. Terwijl later blijkt dat ze zelf helemaal geen creditkaart hebben.
Retiger
@trisje28 november 2015 20:13
Ik lag strijk van het lachen bij je laatste zin.
JapyDooge
@wica27 november 2015 20:36
In dit geval gaat het veelal om volwassenen (de ouders).

De doelgroep van VTech is over het algemeen nog te jong om zelf met de desbetreffende website overweg te kunnen ;).

De ouders kunnen echter inloggen (of de desktop applicatie van VTech gebruiken) en boeken, filmpjes, spelletjes enz kopen.
wica
@JapyDooge27 november 2015 21:25
En ook die gegevens van de ouders hoeven ze niet te hebben.
Anoniem: 167912
@wica27 november 2015 21:47
Waarom benadrukt VTech dit?
om mensen gerust te stellen uiteraard
Anoniem: 167912
27 november 2015 22:04
Heb ook de mail gehad, gelukkig had ik de registratie uitgevoerd met een gmail account dat ik enkel voor dit soort onzin gebruik. Toch zou ik graag willen weten wat er allemaal gelekt werd. Is er een manier om dit na te gaan? Ik vindd zelfs niet meer waar ik kan inloggen op vtech
LeroyBrown84
29 november 2015 10:56
Heb ook een mail gehad van VTech. Wat mij vooral opvalt is dat er op geen enkele manier een verontschuldiging wordt gedaan. Te zot voor woorden! Vijf miljoen accounts... Maar een 'sorry' is ver te zoeken.
Anoniem: 606597
27 november 2015 18:02
Niets is meer heilig. Is er bekend wat het motief hier was?
Jism
@Anoniem: 60659727 november 2015 18:06
Merendeels zoeken naar lekke beveiliging en de eer opstrijken dat hacker Y bedrijf X heeft gehacked. Ik vind de nieuwswaarde niet zo interessant op Tweakers.net eerlijk gezegd.

Als je maar hard genoeg zoekt kan je vele websites op het internet defacen en de eer opstrijken. Het probleem ligt 'm eerder in de zwakke beveiliging van bedrijven en / of dat zij veelal applicaties uitbesteden aan lage loonlanden.
AnonymousWP
@Jism27 november 2015 18:14
Misschien willen de hackers vooral duidelijk maken dat de bedrijven hun beveiliging op orde hebben ;).
Boender
@AnonymousWP27 november 2015 18:24
Je hoort helaas nooit bedrijf x is niet te hacken.
AnonymousWP
@Boender27 november 2015 18:36
Helaas niet. Alles is te hacken, wat wordt aangestuurd door een computer. Ook Google en Microsoft zijn hackbaar. Zolang je er maar genoeg kracht tegenaan gooit.. kan tientallen jaren duren, maarja..
Ventieldopje
@AnonymousWP29 november 2015 02:49
Waarom wordt er altijd beredeneert vanuit "brute force". Zo van ja, de computers zijn nu nog niet snel genoeg ... maar over 10 jaar vast wel, grote onzin :9

De meeste keren dat een bedrijf gehackt wordt is vanwege phishing, lekke applicaties en slechte beveiliging (standaard wachtwoorden, open poorten etc.). Als je kwaad wil en het bedrijf heeft wel moeite gedaan de boel dicht te timmeren dan pak je de werknemers aan als zwakste schakel of dan ga je gewoon bij zo'n bedrijf solliciteren... beetje ala Snowden.
MenN
@Jism27 november 2015 23:51
Nieuwswaarde hier is voornamelijk als waarschuwing voor mogelijke klanten van die club. Dan kun je de zelf actie ondernemen.
Anoniem: 126717
@Anoniem: 60659727 november 2015 18:58
Het bedrijf zegt dat de database namen, e-mailadressen, versleutelde wachtwoorden, geheime vragen & antwoorden, ip-adressen en postadressen bevat.
De wachtwoorden zijn misschien onbruikbaar, geheime vragen & antwoorden worden vaak (meestal?) op andere sites ook gebruikt. Dus zijn nuttige informatie om te hebben, vooral in combinatie met de gebruikersnamen.
Echte email adressen zijn vast nog wat waard voor spammers.
OddesE
@Anoniem: 12671728 november 2015 09:02
Geheime vragen zijn een accident waiting to happen.
Dubbeldrank
@Anoniem: 60659727 november 2015 20:18
De email-adressen is vaak waar het om gaat, actuele databases verkopen prima aan spammers. Voor de rest is de informatie niet zo heel interessant, hooguit voor het eisen van een geldbedrag voor het niet publiek maken.
Jism
@Dubbeldrank27 november 2015 21:40
Met mazzel kan je de wws op email adressen en dergelijk gebruiken.
Johannes77
@Anoniem: 60659727 november 2015 18:16
Ik denk dat zit soort bedrijven eerder target zijn dan je denkt. De ouders van de eigenaren van deze producten worden als kapitaalkrachtiger gezien, en gezien dat veel mensen voor veel sites de zelfde wachtwoorden gebruiken is de informatie best waardevol.
WDMeaun
@Anoniem: 60659727 november 2015 18:13
Vermoedelijk een kindje (kan > 18 jaar zijn, mentaliteit is kinds), die graag aandacht wilt en opzoekt.
Hoewel ze dan meestal proberen iets te defacen, maar wellicht was hij niet zo ver gekomen. (of zij, maar vrouwen zoeken meestal op andere manier naar aandacht)

Het zal wel gaan om een of ander extra programmaatje, die ergens tussendoor door een extern ontwikkeld is en iets te open stond.

Ik heb heel erg het idee, dat een gedeelte van de informatie in dit artikel ontbreekt.

Verder zou afpersing een motivatie kunnen zijn, maar ik verwacht dat dat dan in dit artikel genoemd wordt. (Misschien houdt VTech dat stil)
JapyDooge
@WDMeaun27 november 2015 18:18
Ach, het kan ook best om de website van VTech zelf gaan.

De site werkt prima (ik gebruik 'm wel eens, want mijn kinderen hebben deze), maar is niet echt hypermodernhip. Er kan best ergens een SQL injectie mogelijk geweest zijn of iets dergelijks.

Daarnaast is er een desktop applicatie die communiceert met een API. Daar kan ook iets mis geweest zijn. We weten het niet, en er is geen duidelijkheid over. ;)
JapyDooge
@Anoniem: 7059928 november 2015 11:02
Ik gebruik verschillende wachtwoorden op verschillende sites.
jpsch
28 november 2015 01:33
Hoeveel ouders heeft zo'n kind wel niet?
Red Boll
@jpsch28 november 2015 11:19
Misschien staan niet alle kinderen staan database, ander is het inderdaad een zooitje. :+
Anoniem: 399807
@Red Boll28 november 2015 12:49
Waarom staan er kinderen in een database? De ouders kopen, niet het kind. Kinderen horen geen eigen inlog te hebben, ook niet op een educatief spelletje. Winst is voor die onderneming geen spelletje.

Een hackende pedo kan misschien heel veel met dit soort data.

Dit bedrijf heeft niets met kinderen te maken. Kinderen moeten verborgen blijven achter de rokken van hun moeder.

Het zou wettelijk verboden moeten worden voor minderjarigen om eigen inloggegevens te hebben op websites.
X-t-r-e-m-e
@Anoniem: 39980728 november 2015 14:32
Ik heb daar ook een account. Wij hebben een sprekende beer die de naam van je kind onthoudt en de geboortedatum etc. Daarvoor maak je een account aan en vul je de gegevens in zoals lievelingskleur, favoriet eten etc. Die kan je dan uploaden naar de beer.

Gelukkig gebruik ik hiervoor random wachtwoorden maar dat er een IP adres gekoppeld kan worden aan mijn naam en adres maak ik mij wel zorgen over.

Ik weet niet goed wat ik hiermee moet.
Anoniem: 399807
@X-t-r-e-m-e29 november 2015 15:45
Jou primaire zorg en verantwoordelijkheid als ouder wordt geacht je kind te zijn.

Dit is een zaak van de zwaarte van de gevoelde verantwoordelijkheid dan wel het schipperen daarmee. Het is het verhaal dat je jezelf verteld dat voor de bestwil van je kind, bijvoorbeeld dat deze website educatief is, je een zeker gecalculeerd risico kunt nemen.

Ik denk dat het een fout verhaal is. Ik zie niet waarom een website cruciaal is voor de educatie en opvoeding va je kind en waarom je als ouder bereid bent risico's te aanvaarden. Er zijn talloze manieren om kinderen iets te leren en dat we nu in een informatietijdperk leven met de risico's van dien ontslaat geen ouder van de verantwoordelijkheid om het kind te beschermen.

Er zijn 'harde grenzen' in de wereld, die niet rekbaar zijn naar gelang de omstandigheden. Een kind een keer te vet laten eten kan incidenteel, maar een kind bloot stellen aan aantoonbaar en vrijwel te verwachten risico's vind ik nalatig.

We weten immers dat alle websites een keer gehackt worden. Niet de vraag 'of het gebeurt maar wanneer het gebeurt is relevant.

Technologie moet geen doel op zich worden waardoor je de baby met het badwater verliest.
Red Boll
@Anoniem: 39980728 november 2015 16:12
Een hackende pedo kan misschien heel veel met dit soort data.
Okay, in hoeveel databases is er een koppeling van meerderjarigen met producten als baby voedsel, luiers, kinderwagens, kinderspeelgoed, ...

Hiermee kan een hackende pedo ook van alles.
Anoniem: 399807
@Red Boll29 november 2015 15:45
Juist. Dus? Wat is je conclusie?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee