VTech-hacker kreeg ook foto's en chatlogs van speelgoedgebruikers in handen

De hacker van de systemen van speelgoedfabrikant VTech heeft niet alleen persoonlijke gegevens van bijna 5 miljoen ouders en meer dan 200.000 kinderen in handen gekregen, maar ook foto's en chatlogs. Dat blijkt uit nieuwe informatie over de hack.

De hacker verkreeg de afbeeldingen en chatlogs van een kwetsbaar systeem dat VTech gebruikte voor de Kid Connect-dienst. Deze dienst stelt ouders in staat via een smartphone-app te chatten met hun kind, als deze laatste een tablet van VTech gebruikt. In de handleidingsvideo adviseert VTech gebruikers van de tablet een gezichtsfoto te maken. Dat schrijft Motherboard, die vrijdag als eerste de hack naar buiten bracht.

Het gaat om 190GB aan fotomateriaal en de hacker schat dat het om tienduizenden afbeeldingen gaat. De man deelde een bestand met 3832 foto's met Motherboard om zijn claim te staven. Daarnaast trof hij chatlogs aan die dateren van de periode eind vorig jaar tot aan november dit jaar en verder stonden er audio-opnames van gebruikers op de kwetsbare systemen.

Ondertussen heeft VTech zijn Learning Lodge-dienst en een aantal internationale en regionale websites offline gehaald, hangende het onderzoek. Onder andere de sites planetvtech.com, vsmilelink.com en sleepybearlullabytime.com zijn door de speelgoedfabrikant offline gehaald. VTech benadrukt dat geen creditcardgegevens zijn buitgemaakt.

Vrijdag werd de hack van VTech, die op 14 november plaatsvond, bekend. Het zou het op vier na grootste datalek aller tijden zijn. De hacker heeft details over de kraak bekendgemaakt maar zou verder niets van plan zijn met de data.

Advanced Learning Lodge Navigator VTech

IT-banen

Reacties (74)

CorvusGS 1 december 2015 11:40

Ik ben VTech klant en vorige week vrijdag dan ook onderstaande mail gekregen. Wat mij vooral stoort aan deze mail is het ontbreken van een aanbeveling zoals ten minste het wijzigen van je paswoord.

Beste klant,

Uit onze gegevens blijkt dat u in het bezit bent van een Explor@ Park account.

We zijn op 24 november jongstleden erachter gekomen dat een onbevoegde partij op 14 november toegang heeft gehad tot onze Explor@ Park database.

Onze database bevat algemene gebruikersinformatie waaronder; gebruikersnamen, e-mail adressen, versleutelde wachtwoorden, geheime vragen en antwoorden bij een vergeten wachtwoord, IP-adres, postadres en downloadgeschiedenis van Explor@ Park.

Het is belangrijk om te weten dat onze database GEEN creditcardgegevens of bankgegevens bevat. VTech bewaart en verwerkt geen enkele creditcardgegevens van klanten op de Explor@ Park website. Voor het volledige betaalproces bij het aankopen van downloads op Explor@ Park worden gebruikers doorverwezen naar een beveiligde website van derden.

Bovendien bevat onze database GEEN persoonlijke identificatiegegevens (zoals paspoortnummer, sofinummer, burgerservicenummer (BSN) of rijbewijsnummer).

Na het ontdekken van de ongeautoriseerde toegang hebben wij direct een grondig onderzoek uitgevoerd, waaronder een uitgebreide controle van de getroffen website en het toepassen van maatregelen ter verdediging en voorkoming van misbruik door onbevoegden. Naast de genomen maatregelen breiden we ons onderzoek uit naar nieuwe en betere manieren om de beveiliging van onze Explor@ Park database te versterken.

We zullen u op de hoogte houden van belangrijke updates. Tevens zullen updates altijd op onderstaande website worden geplaatst: https://www.vtech.com/en/media/press-releases.

Mocht u in de tussentijd nog vragen hebben, dan kunt u altijd contact met ons opnemen via het e-mail adres: exp@vtech.com

Met vriendelijke groet,

King F. Pang
Group President
VTech Holdings Limited

.oisyn Moderator Devschuur® @CorvusGS • 1 december 2015 16:37

zoals ten minste het wijzigen van je paswoord

Wat natuurlijk compleet nutteloos is daar het antwoord op de geheime vraag ook gelekt is, waarmee je wachtwoord gereset kan worden. Kwaadwillenden kunnen dus ook na het wijzigen van het wachtwoord nog inloggen.

Overigens, zoals je hier kunt lezen, waren die zogenaamde "encrypted passwords" gewoon MD5 hashes zonder salt. Oftewel, in 2015 ongeveer net zo "veilig" als plain text. En dat is bij lange na niet de enige security blunder die ze maken

[Reactie gewijzigd door .oisyn op 23 juli 2024 03:03]

locke960 @CorvusGS • 1 december 2015 12:05

mooi ook om te lezen hoe de gegevens die ze niet hebben "persoonlijke identificatiegegevens" zijn en de gegevens die wel gestolen zijn slechts "algemene gebruikersinformatie"...

Volgens de definitie in het woordenboek zal het wel kloppen, maar aan de hand van een e-mail adres, geheime vragen en antwoorden, een IP-adres en postadres kun je meestal net zo goed, zoniet beter, geïdentificeerd worden. Voor de meeste mensen kan het lekken van dit soort informatie waarschijnlijk meer kwaad dan het lekken van paspoortnummer, sofinummer, burgerservicenummer of rijbewijsnummer.

supersnathan94 @locke960 • 1 december 2015 12:13

Voor de meeste mensen kan het lekken van dit soort informatie waarschijnlijk meer kwaad dan het lekken van paspoortnummer, sofinummer, burgerservicenummer of rijbewijsnummer.

Ik denk dat dat wel meevalt. De "persoonlijke identificatie gegevens" kunnen namelijk op grote schaal misbruikt worden om identiteitsfruade mee te plegen. Adresgegevens zijn toch algemeen op te vragen.

Geheime vragen en antwoorden zijn vaak met een beetje social engineering te verkrijgen en Ip-adres zegt vaak ook niet zoveel (daar veel providers nog gewoon DHCP achtige constructies gebruiken).

Paspoort/burger service nummer zijn toch vervelender.

Heedless @supersnathan94 • 1 december 2015 15:49

Waar kan jij adresgegevens 'algemeen opvragen' dan?

supersnathan94 @Heedless • 1 december 2015 15:57

telefoongids.nl bijvoorbeeld. je zal wat werk moeten verrichten om de goede persoon erbij te krijgen, maar de data is openbaar beschikbaar.

Heedless @supersnathan94 • 1 december 2015 16:02

Hoe veel (jonge) mensen staan er nog in de telefoongids tegenwoordig. Ik wilde gaan zeggen dat de enige personen die ik ken die er in staan mijn ouders zijn, maar zelfs die blijken er niet meer in opgenomen te zijn.

Armin

Netwerk en systeembeheer

@Heedless • 1 december 2015 18:57

Je moet ook verder kijken dan postzegel Nederland. Een land als het VK of de USA heeft geen GBA en dan zijn dit soort gegevens goud waard om familie-banden vast te stellen.

Je weet dan opeens adres en geboortedatum van een kind. Daarmee kun je in sommige gevallen al bijna medische fraude mee plegen.

En indien je toegang hebt tot een van de vele BSN databases, kun je nu opeens een valse belasting aangifte (teruggave) indienen.

[Reactie gewijzigd door Armin op 23 juli 2024 03:03]

densoN @locke960 • 1 december 2015 18:57

Ze refereren naar 'bijzondere persoonsgegevens', deze worden als 'zeer gevoelig' beschouwd.

RemmesB @CorvusGS • 1 december 2015 13:28

Geen persoonlijke identificatiegegevens...

Nou, gelukkig zijn alleen de foto's en video's van (minderjarige) dochtertjes of zoontjes in het bezit van deze hacker, die er blijkbaar niet voor terugdeinst om er een paar duizend online te zetten. Er zijn helaas genoeg mensen op deze aardkloot die grof geld willen betalen voor een kleine 200gig aan foto- en videomateriaal van kinderen en we kunnen alleen maar hopen dat deze hacker niet voor financieel gewin gaat.

Beetje jammer dat Vtech niets vermeld over dit buitgenomen materiaal.

Heedless @RemmesB • 1 december 2015 15:53

Als je het artikel leest dan zie je dat hij niet 'een paar duizend online' heeft gezet. Hij heeft deze doorgespeeld naar journalisten als bewijst, die er vervolgens welgeteld tien online hebben gezet met grote zwarte vlakken over de gezichten.
En alles wijst er op dat het de hacker gaat om de boodschap, geen financieel gewin voor zichzelf:

The hacker shared a sample of 3,832 image files with Motherboard for verification purposes, but he also said he doesn’t intend to publish or sell the data.

Verwijderd @RemmesB • 1 december 2015 15:20

sinds wanneer zijn we zo verlegen?
waarom zou iemand grof geld betalen voor 200GB aan foto's en videomateriaal van kinderen

ik begrijp je gedachte wanneer je het over pornografische rommel hebt
maar is dat hier het geval? is het echt zo erg als je zegt?

ik weet het niet hoor
zou er zelf helemaal niet wakker om liggen
als je vage penispics naar je eigen of kinderen van anderen hebt gestuurd ja dan word het spannend lolol

mijn neefje van 3 (+- geloof ik) heeft zo'n tablet
en hij brabbelt alleen de meest random dingen over wat hij op TV ziet of als hij een koekje krijgt naar zijn pa
af en toe een scheve foto per ongeluk
en dan vliegt dat ding weer op de grond

ik heb dat ding niet geregistreerd dus ik heb geen flauw idee wat er verder aan gegevens bekend zijn
dat is misschien een andere zaak

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:03]

RemmesB @Verwijderd • 2 december 2015 19:53

+ @Heedless

Misschien was mijn reactie niet eens bedoeld voor deze ene hacker, want wie zegt dat deze hacker de enige is die dit materiaal heeft buitgemaakt?

Ik kan me gewoon erg kwaad maken over het feit dat er miljarden omgezet worden door een club als Vtech en diens moederbedrijf en tientallen miljoenen winst gedraaid wordt, terwijl ze blijkbaar niet eens de moeite nemen om een goed beveiligde portal te ontwikkelen.

Wat betreft het materiaal: lijkt me vrij duidelijk dat ik het niet over penispics heb. Ik heb zelf drie dochters die in de zomer, in hun zwemkleding met hun tablet in de tuin zitten en de meest gekke fratsen uithalen om dit vervolgens 80 keer te fotograferen en dit kan dus ook met Vtech meuk gebeuren. Helaas is het zo dat er bepaalde types zijn die hier al 'anders' naar kijken.

Zie ook reactie van moeder @Katerin hieronder ;-)

[Reactie gewijzigd door RemmesB op 23 juli 2024 03:03]

Verwijderd 1 december 2015 11:09

De man deelde een bestand met 3832 foto's met Motherboard om zijn claim te staven

Die data had de beste man ook aan V-Tech kunnen tonen, in plaats van het openbaar maken.

De hacker heeft details over de kraak bekendgemaakt maar zou verder niets van plan zijn met de data.

Nee, die heeft hij immers al gedeeltelijk gedeelt.

Hekel aan dit soort hackers. Als je echt white hat was maak je geen eindgebruikers de dupe.

vanDee898 @Verwijderd • 1 december 2015 11:37

VTech had hier in eerste instantie weinig aandacht voor.
Meer achtergrond: http://arstechnica.com/se...e-the-massive-vtech-hack/

T0mBa @Verwijderd • 1 december 2015 11:35

Het is juist de beste manier om dit aan te pakken. Als hij het gewoon aan het bedrijf in kwestie had gemeld, was er 1) waarschijnlijk niets gebeurd en 2) wisten mensen helemaal niet dat een speelgoedbedrijft dergelijke privé gegevens verzamelde. Zeker vanuit het tweede punt hoop ik dat dit bedrijft een zéér zware schadevergoeding zal moeten betalen hiervoor. Mensen kunnen er over het algemeen niet zo mee lachen dat iemand privé foto's van hun kinderen bewaart.

moozzuzz @T0mBa • 1 december 2015 13:36

Privé foto's die door de ouders zelf online gezet zijn in een "beveiligde" / "veilige" omgeving. Het gaat hier wrschlk over profielfoto's zoals je ook op fb ziet. Als er naaktfoto's zouden bij zijn, zit er wat anders fout...

Katerin @moozzuzz • 1 december 2015 13:52

Kinderen maken eigenlijk heel veel foto's van allemaal random dingen met hun kidizooms en hun kidicam of kidiwatch. Dus dat er naaktfoto's bij zitten vind ik geen gekke gedachte. Kinderen zijn namelijk wel eens naakt en broertjes en zusjes ook.

Ze richten namelijk hun producten niet op tieners maar al op kinderen van 4 a 5 jaar die zo een camera op hun fiets kunnen monteren of filmpjes maken van het buitenspelen, of andere huis tuin en keukendingen.

Nu moet ik wel zeggen dat ik als moeder niet graag foto's online heb staan van ze dus ik haal ze niet van die dingen af of ze moeten echt heel leuk zijn. Maar als je gewoon de hele zooi even op je computer zet dan zie ik daar wel naakt tussen zitten..

Net als 1500 foto's van het plafond of de muur of de favoriete knuffel.

Verwijderd @Katerin • 2 december 2015 22:45

als ik er over nadenk vind ik het heel vreemd hoor
misschien ontkleden jouw kinderen zich vaker dan een ander of hebben ze een buitengewone drang om foto's te maken

dat de twee in normale mate namelijk op kind eigen initiatief samenkomen en dan door je manier van schrijven ook laat schijnen dat het redelijk frequent gebeurt lijkt mij persoonlijk erg zeldzaam

en dat men het niet graag wilt dat persoonlijke foto's op straat liggen, daar kan ik in komen
maar sommigen schreeuwen hier moord en brand
men wilt graag met de groep mee schreeuwen en veel aandacht en erkenning krijgen

aan de andere kant moet je met een moeder sowieso nooit in discussie gaan, zeker niet over kinderen

het zal wel... toei toei

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:03]

Foamy @Verwijderd • 1 december 2015 11:20

[...]

Die data had de beste man ook aan V-Tech kunnen tonen, in plaats van het openbaar maken.

Ware het niet dat een melding bij een bedrijf maken meestal resulteerd in een claim aan je broek. Naar de media stappen is dan een net alternatief.

BJD @Verwijderd • 1 december 2015 11:20

Tenzij hij een stuk bewustwording wil creëren die breder draagt dan enkel de fabrikant alleen. Op deze wijze worden gebruikers en ook andere fabrikanten gewaarschuwd. Anders wordt het (bij enkel contact met de fabrikant) een doofpotaffaire met nog maar de vraag of het systeem naderhand beter ontworpen wordt. Als iemand zo makkelijk foto's en chatlog's van een jaar terug binnenharkt dan heeft de fabrikant flink wat steken laten vallen.

Verwijderd @BJD • 1 december 2015 12:00

De fabrikant alleen laat geen steken vallen. Ouders van deze kinderen ook. Kun je het de ouders kwalijk nemen dat ook zij nooit opgevoed zijn met de do's and do nots van internet? Ja.

Ik heb vaak al gezegd dat internet over ons is uitgestort als was het de Heilige Geest. En we vonden het zelf allemaal hartstikke leuk. Niemand zag hoe de gevaren zich zouden mee ontwikkelen met wat leuk is en handig.

Desondanks hebben ouders de verantwoordelijkheid om niet naïef te zijn en zichzelf te informeren. Op dezelfde manier dat een ouder moet controleren of er geen lood in de verf op een stuk speelgoed zit en de labels in kleding te lezen zodat het kind daaronder niet lijdt, zo moet ook elke ouder zich vergewissen of een website veilig is, zo ja, waarom wel, zo nee, waarom niet.

Kan een ouder dat? Nee. Je kunt niet altijd achterhalen of een website veilig is. Bij twijfel, niet doen.

Dat betekent dat er bar weinig websites overblijven, dat je 99% van internet niet kunt gebruiken. Wel, als dát de conclusie is dan is elke website waaraan je als ouder je kind bloot stelt een compromis op de veiligheid van je eigen kind. En ik snap wel dat 'meedoen' belangrijk is.

Toen ik jonger was ging dat vooral over dat ouders een bepaald merk sport schoen of jeans moesten kopen, anders hoorde je er niet bij. Daar zat niet heel veel gevaar in, behalve dat je een kind het signaal geeft dat meeloperij een goed iets is. Mode is immers gewoon vette nonsens.

Tegenwoordig staat er wel iets meer op het spel als je meent dat je kind met vrienden mee moet kunnen doen.

Veiligheid moet van twee kanten komen. Bedrijven moeten zich serieus beschermen en daarin investeren. Zij moeten die investering zien als onontkoombaar, net als de kosten voor elektriciteit voor je machines. Je kunt niet zonder.

Maar ouders moeten gewoon verantwoordelijkheid nemen en niet passief zitten wachten en hopen dat er niets gebeurd. Wat mij betreft zouden ouders of mensen die kinderen willen zélf een internet paspoort moeten krijgen of misschien moeten scholen cursussen geven aan zowel de leerling als de ouder.

De overheid moet dat verplicht stellen wat mij betreft en bedrijven die niet kunnen aantonen dat ze volgens zekere normen aan beveiliging doen gewoon kapot maken. De deuren sluiten tot ze de beveilig op orde hebben. Een verbod op de verkoop van dit speelgoed zou op zijn plaats zijn.

Je kunt niet tot een wereld komen waar veiligheid voorop staat als er niet gewoon een paar bedrijven over de kop gaan maar ook niet als ouders gewoon achterlijk doen en bewust of naïeve risico's nemen. Ouders moeten bedrijven onder druk zetten. Anders gebruik je hun diensten en producten niet, Klaar. Uit.

En dan zal het de ouders verbazen, wanneer hun kind niet op een website mag, hoe leuk die ook is, hoeveel andere ouders daarin mee zullen gaan. Achterlijke ouders zullen het alsnog toestaan, maar goede ouders zullen elkaar het goede voorbeeld geven. Dus ouders moeten ook ophouden mee te lopen met de meute omdat anders hun kind misschien uitgelachen wordt of niet mee kan doen.

Ik heb geen kinderen. Maar ik lijk me er meer om te bekommeren dan ouders zelf.

jay123 @Verwijderd • 1 december 2015 14:00

Ik snap je punt niet. Je legt hier de schuld voor een deel bij de ouders omdat ze een dienst gebruiken die ze gekocht hebben?

Als jij een creditcard gebruikt, en deze maatschappij wordt gehacked, mag ik dan jou ook beschuldigen omdat je er gebruik van gemaakt hebt?

Verwijderd @jay123 • 1 december 2015 18:56

Het doet er niet toe of je iets koopt. Iets kopen geeft geen garantie op veiligheid. Misschien wel voor een auto maar op internet moet je niet raar staan kijken als je een mail krijgt dat het bedrijf gehackt is, als je al bericht krijgt.

En aangezien we nu allemaal wel zo langzamerhand weten dat onveiligheid de norm is kun je ouders wel verwijten dat ze desondanks dergelijke producten en diensten gebruiken.

Stagg @Verwijderd • 1 december 2015 11:23

Als ik nu zeg dat je wachtwoord zwak is zal je hem niet veranderen, als je naaktfoto's op straat liggen zie je hier vaak het nut pas van in.

Simyager @Stagg • 1 december 2015 11:45

Well that escalated quickly! Alleen omdat zijn wachtwoord zwak is meteen naaktfoto's op straat gooien? Volgens mij kun je eerst de beste man(of vrouw) uitleggen hoe die zijn/haar wachtwoord kunt verbeteren dan meteen alles open en bloot te gooien

.

Het moeilijkste is om die personen goed te kunnen overtuigen en niet meteen te dreigen of pijn doen, dat is de makkelijkste route.

Heedless @Verwijderd • 1 december 2015 15:56

Delen met journalisten is niets mis mee zolang dit op een veilige manier wordt gedaan. Aangezien hun gesprek met de hacker encrypted ging lijkt het mij dat ze het verzenden van de bestanden ook heus wel goed aangepakt hebben..

the hacker told me in an encrypted chat

Bonez0r @Verwijderd • 8 december 2015 14:20

Beetje late reactie, maar vandaag dit gerelateerde nieuws op tweakers: 'Onderzoeker kon toegang krijgen tot gegevens alle Nederlanders met mobiel abo'.

De onderzoeker had al in oktober contact gezocht met het bedrijf, maar in plaats van een dankbare reactie krijg je dit:

Media Markt en The Phone House reageerden in eerste instantie niet nadat Ruwhof in oktober contact had gezocht. Na enige tijd ontving hij een e-mail van een vestigingsmanager van de Media Markt waarin werd gedreigd met een juridische procedure wanneer hij zijn bevindingen publiek zou maken.

Dit is de gebruikelijke reactie van bedrijven die "betrapt" worden op dit soort lekken. Daarom gaan veel mensen die zoiets ontdekken meteen voor openbaar maken. En misschien bestaan er veel meer lekken waar we nooit iets van zullen horen omdat de ontdekker succesvol bedreigd is met een juridische procedure en dus z'n mond houdt terwijl het lek blijft bestaan.

Verwijderd @Verwijderd • 1 december 2015 11:19

Je kan het ook vanuit een andere kant bekijken:

Misschien heeft V-Tech gewoon niets gedaan met zijn bevindingen? En om kracht bij zn woorden te zetten, maar foto's openbaar gemaakt. Volgens mij is vanaf dat moment het balletje gaan rollen.

Je weet nooit het hele verhaal, dus kan je ook nooit conclusies trekken...

Verwijderd @Verwijderd • 1 december 2015 11:42

Dan zul je conclusies trekken op basis van wat je wel weet. Nooit kun je 100% zeker weten dat je alle informatie hebt. Voor zover dat überhaupt mogelijk is. Als het niet weten of je genoeg weet een reden is om niet te oordelen, dan was het concept 'conclusies' een onmogelijk concept.

Een conclusie is een uitgangspunt waarmee de ander aan de slag kan om te bewijzen dat het niet klopt. Doet de hacker in dit geval, dat niet, dan mag ik uitgaan van de beschikbare gegevens. En anders moet ie niet zeuren.

? ? @Verwijderd • 1 december 2015 11:41

Dus als ik in de Albert Hein aan de kassierster zeg dat ik haar geld kan afnemen als ze haar kassa open doet; dan mag ik de volgende keer het geld gewoon nemen, omdat ze er geen tralies rond gebouwd hebben?

Hopelijk woont die gast niet in de VS, want dan verdwijnt hij jaren achter de tralies. En maar goed ook!

Dit is een crimineel die criminele daden uitvoert.

Trouwens: als je hard genoeg tegen een normale deur aanrent, opent die meestal. Mag ik alles bij jou thuis komen stelen omdat je geen deftige maatregelen genomen hebt om je huis te beschermen?

[Reactie gewijzigd door ? ? op 23 juli 2024 03:03]

REDSD

@? ? • 1 december 2015 11:49

Het gaat hier alleen om gegevens van andere bij vtech, dus een betere vergelijking zou zijn:

Je geeft bij de albert heijn aan dat de koeling niet goed werkt, ze doen er niks mee, daarna zet je foto van de zure melk op het internet die in de koeling staat. Nu is het negatief voor campina en albert heijn...

Als vTech benaderd is en er niks mee heeft gedaan is dat schadelijk voor alle gebruikers, maar als beide het daarbij hadden gelaten kan een derde partij hier misbruik van maken zonder dat de gebruikers dit ooit zullen weten.

Verwijderd @? ? • 1 december 2015 11:46

Beetje ondoordacht.

Stel hé... Jij mailt de media: Hey, ik heb Apple gehackt, en heb een HELEBOEL foto's en iMessages berichten(gewoon een voorbeeld ja?), etc. Denk je dan werkelijk dat de media jou gaat geloven? Natuurlijk niet. Dit is gewoon een manier om de media te bereiken, en klaar blijkelijk heeft het gewoon gewerkt.

Verwijderd @? ? • 1 december 2015 12:48

Waarom? Omdat die bedrijf gewoon schijt heeft aan zijn eigen klanten!

http://arstechnica.com/se...e-the-massive-vtech-hack/

Ze mogen van geluk spreken dat dit een whitehat hacker betreft. Nu is de schade toch nog beperkt... Ja, er is reputatieschade, maar dat hebben ze aan zichzelf te danken.

Verwijderd @? ? • 3 december 2015 08:20

maat, volgens mij ken jij alleen de blackhat hackers generatie...

Heb je wel door dat dit een whitehat is? V-Tech geloofde(n) de hacker(s) niet, en wat zou jij doen, om hun ogen toch open te trekken? Data online zetten.

Gomez12 @Verwijderd • 1 december 2015 14:20

[...]
Hekel aan dit soort hackers. Als je echt white hat was maak je geen eindgebruikers de dupe.

En als je nou echt gewoon goed wilt zijn dan blijf je gewoon met je tengeltjes overal vanaf.

White hat is gewoon nog steeds crimineel gedragen.

Armin

Netwerk en systeembeheer

@Verwijderd • 1 december 2015 18:51

Nee, die heeft hij immers al gedeeltelijk gedeelt.

Aan mensen van wie die weet dat die het niet verder verspreiden, verantwoordelijk mee omgaan, eerst VTech waarschuwen en er daarna pas een blog over schrijven.

VTech mag in de handen wrijven dat het zo'n hacker was en niet de gebruikelijke die de database verkoopt aan de hoogste bieder.

killercow 1 december 2015 11:08

Wat boeien creditcardgegevens nou in vergelijking tot chatlogs, fotos en geluidsopnamen van kinderen en ouders.

Met wat pech moeten die kinderen nu opgroeien met allermaal onhandige geluidsfragmenten, chatberichten en foto's uit intens private sfeer die nog jaren en jaren te vinden zijn op internet.

Ze mogen bij Vtech in hun handjes klappen dat deze hacker de fouten gevonden heeft en er niks mee van plan is.

Privacy-invasion Barby is net zo'n debiel product waarbij er volledig voorbij gegaan wordt aan de mogelijke problemen die het ding in de slaapkamer van kinderen kan veroorzaken.

diyoo @killercow • 1 december 2015 11:18

Helemaal eens met je verhaal. Maar als ouder vind ik dat je hier ook zelf wel enige verantwoordelijkheid moet nemen. Je weet toch dat wat online gebeurt daar nagenoeg voor eeuwig staat. Waarom laat je je kind gebruik maken van een communicatiedienst van V-Tech (speelgoedfabrikant)? Er zijn genoeg concurrerende alternatieven die zich focussen op communicatie en zich al lang bewezen hebben. Het wordt tijd dat mensen zich gaan realiseren dat wat je online zet niet veilig is, ook als de fabrikant/dienst belooft dat niemand anders erbij kan. Nu snap ik dat dit met kleine kinderen nog wat lastig uit te leggen is, maar een beetje toezicht in de jonge jaren lijkt mij verstandig.

moozzuzz @diyoo • 1 december 2015 13:41

Waarom laat je je kind gebruik maken van een communicatiedienst van V-Tech (speelgoedfabrikant)?

Omdat het een deel van de functionaliteit vh speelgoed is natuurlijk. Vtech specialiseert zich vnl op zeer jonge kinderen zonder dat die persé een smartphone op zak hebben... Het is net de bedoeling om met de smartphone vd ouders te kunnen "chatten" met de speelgoedtablet vh kind.

diyoo @moozzuzz • 1 december 2015 14:58

Ik ken vtech, mijn zoontje heeft er ook wat speelgoed van. Dat ze specialiseren in speelgoed voor de jongsten onder ons is precies mijn punt. Het is prima dat men een veilige omgeving probeert te scheppen voor kinderen om spelenderwijs wegwijs te raken met technologie. Mijns inziens hoort een zelf in elkaar gezette chatdienst daar gewoon niet in thuis. De implicaties van het hosten van zo'n dienst zijn groot en heeft veel technische en maatschappelijke raakvlakken (waarom worden logs een jaar bewaard bv?), die m.i. niet passen bij een speelgoed fabrikant. Beter zouden ze dit uitbesteden aan bijvoorbeeld google/microsoft/whatever door middel van het beschikbaar stellen van een app, die hebben zich immers over de jaren als redelijk betrouwbare partners bewezen. Technologie, en dan met name Internet, is geen speelgoed en dient w.m.b. ook niet als zodanig door kinderen gebruikt te worden. Daarmee wil ik trouwens niet zeggen dat ze volledig afgeschermd moeten worden, maar ouders zouden hier wel wat meer bewust van mogen worden. Dat een fabrikant adverteert met veilige omgeving wil niet zeggen dat dat ook zo is.

moozzuzz @diyoo • 2 december 2015 00:01

spelenderwijs wegwijs te raken met technologie. Mijns inziens hoort een zelf in elkaar gezette chatdienst daar gewoon niet in thuis.

Een chat app lijkt me nochthans een deel van het digitale leven te zijn voor velen onder ons. Ik zie dus niet in waarom dit er niet thuis hoort, integendeel, een chatapp in een "veilige" omgeving is mi net een typische gimmick die wél in dit soort speelgoed thuishoort.

Je hebt wel een punt dat de chatlogs niet bijgehouden hoefden worden, of toch zeker niet centraal. Al kan je die centrale logs zowel als bug als als feature zien. Google is dan overigens wel het meest foute alternatief als je bang bent dat je chatlogs opgeslagen worden. Mss kon je nog fb voorstellen

?

Ik heb geen vtech aandelen of link noch de nood om ze te verdedigen, maar Vtech probeerde net een afgeschermde internet"beleving" te bieden (eg chatten met ouders), daar lijkt me niets mis mee. Dat dit concept gehacked is geweest, ligt aan slechte beveiliging/implementatie, niet aan het ongebreideld toegang verschaffen tot internet. Overigens hebben heel wat kinderen geen vtech laptop maar een tablet, pc of laptop van de ouders tot hun beschikking. Dat is nog net iets anders...

diyoo @moozzuzz • 3 december 2015 10:49

Ik denk dat je het woordje "zelf" hebt gemist, want ik betwist niet of een chat dienst wel dan niet thuis hoort in zo'n omgeving. Ik betwist het feit dat een speelgoedbedrijf dit soort dingen zelf wil bouwen.

Met facebook probeer je mijn argument in het ridicule te trekken, die had ik natuurlijk niet genoemd om redenen die voor iedereen wel duidelijk zullen zijn. Dat doet verder niets af aan de rest van het argument, nl. dat er gespecialiseerde bedrijven zijn die zo'n dienst veel beter kunnen uitvoeren. Ik stelde google/microsoft voor omdat deze bedrijven al vele jaren actief zijn op het Internet en in al die tijd eigenlijk nauwelijks in het nieuws zijn geweest voor gehackte systemen. Dat zij data gebruiken voor andere doeleinden en of je dat wil moet iedereen natuurlijk voor zich beslissen. Is dat een probleem dan zijn er vast andere, wellicht betaalde diensten die als alternatief kunnen dienen. Je kunt er bij deze bedrijven in ieder geval redelijk zeker van zijn dat je data niet op straat komt te liggen door creatieve geesten.

Dat dit soort hacks niet aan het ongebreideld toegang verschaffen tot Internet ligt ben ik trouwens maar gedeeltelijk met je eens. Bedrijven wiens core business niet IT is hebben vaak de nare gewoonte te weinig aandacht te besteden aan veiligheid. Veel genoemde redenen zijn dat het te duur is, oplevertijden verlengt en niet zichtbaar is voor de klant (totdat het misgaat natuurlijk). Dit heb ik zelf in het verleden helaas mee mogen maken bij verschillende projecten en gezien de frequentie waarmee hack berichten uitkomen ben ik niet de enige.

MenN @moozzuzz • 1 december 2015 15:23

Maar ze hadden er ook voor kunnen kiezen om dit chatverkeer net als in andere apps versleuteld te laten plaatsvinden. Tech is dus lui geweest met de bescherming van hun klanten, en mogen nu dus (terecht) op de blaren zitten.

moozzuzz @MenN • 1 december 2015 23:51

Ik vrees dat héél veel chatverkeer niet versleuteld verloopt van zodra je de hele grote jongens buiten beschouwing laat. Bvb bij Whatsapp is het ook nog maar recent doorgevoerd voor Android en zover ik weet nog niet voor de iOS-versie.

AOC @killercow • 1 december 2015 11:16

Met wat pech moeten die kinderen nu opgroeien met allermaal onhandige geluidsfragmenten, chatberichten en foto's uit intens private sfeer die nog jaren en jaren te vinden zijn op internet.

Alsof het gros van de ouders dat enigzins uitmaakt. Volgens mij geeft 90% van de huidige ouders hun kind al een (online) identiteit voordat het kind zelf kan nadenken. Als ik Facebook wel eens zie... Want ja, het grootste probleem van vandaag de dag is dat men de stelling heeft dat zij niks te verbergen hebben. Met een overtreffende stelling dat ze 'niks fouts' doen.

Arunia @AOC • 1 december 2015 11:24

Ik begrijp die ouders ook absoluut niet met Facebook.
Wij hebben bewust de keuze gemaakt om bijna niets van onze kleine ergens te posten.
Daarentegen staat heel de vriendenkring met het hele hebben en houden van hun kinderen op facebook.
De kleine meid mag dit later zelf beslissen.

Bovenstaande is heel zuur omdat ik me voor kan stellen dat je er eigenlijk niet vanuit gaat.
De hacker had het beter bij Vtech zelf neer kunnen leggen dat zo op internet, maar goed.

vhal @Arunia • 2 december 2015 09:57

Hoe ga jij dan om met de hele vrienden/familie/etc-kring die per ongeluk of bewust foto's posten op FB van jullie 'kleine meid'. Controleren jullie dit?

Arunia @vhal • 2 december 2015 11:28

Dat doen ze niet.
Kijk, als mijn dochtertje bij familie op de foto staat zoals bij de nicht van mijn vrouw met haar dochtertje, dan is dat aan hen. Ze weten overigens dat wij dat niet doen.
Tot nu toe is dat iig nog niet echt gebeurd.

Daarnaast, mijn schoonmoeder heeft Facebook, maar zet er niets op. Mijn schoonvader heeft Facebook, maar gebruikt dit niet.
Mijn ouders hebben beide geen Facebook.

Dus echt online plaatsen gebeurd niet.

Het is niet dat we er een hele harde lijn in hebben, maar iedereen weet het wel van ons. Dus (on)bewust letten ze er wel op.

Armin

Netwerk en systeembeheer

@Arunia • 1 december 2015 18:45

De hacker had het beter bij Vtech zelf neer kunnen leggen dat zo op internet, maar goed.

De hacker lijkt gelukkig behoorlijk verantwoordelijk geweest te zijn tot nu toe en heeft aangegeven niet van plan is iets met de data te gaan doen.

Maar VTech was niet echt bereikbaar, blijkt uit zowel het eerder geciteerde artikel, als ook Troy's follow up.

FlyEragon @killercow • 1 december 2015 11:16

Fout van de ouders zelf, als je een internet connected device hebt is regel nr 1:
- Ga er van uit dat ooit alles wat je er op zet of mee verstuurt openbaar wordt.

Als je dat kan accepteren, gebruiken. Anders niet. Zoiezo kijkt de halve wereld mee, wat betreft spionage etc. Denk trouwens niet dat er echt bezwaarlijke dingen tussen zitten, meeste mensen zetten toch alles zo openbaar op internet, dus zal dit weinig uitmaken.

T0mBa @FlyEragon • 1 december 2015 11:36

Er is dan nog een groot verschil tussen "meekijken" en die gegevens ook effectief bewaren...

moozzuzz @T0mBa • 1 december 2015 13:38

Meekijken tussen aanhalingstekens impliceert steeds bewaren.

MrManuel

@killercow • 1 december 2015 11:19

Niks mee van plan is?
Hij heeft al een groot deel gedeeld..

Justhim 1 december 2015 13:16

Waar ik nu benieuwd naar ben is of het nu veilig is om er nu een account aan te maken? Of kan dit uberhaupt niet nu?
De goedheiligman heeft momenteel zo'n kindertablet bij ons klaar liggen. En volgens mij is er weinig mee te doen zonder account/connectie.

killercow @Justhim • 1 december 2015 13:56

Ik zou het apparaat terugbrengen en een stuk speelgoed scoren dat niet al bewezen een probleem is voor je kids.

Verwijderd @Justhim • 1 december 2015 14:49

Zoals killercow zegt misschien maar even iets anders halen, ik zou die vtech gewoon nog even in de kast laten liggen, nieuws een beetje volgen, en dan over een maandje ofzo als 'zomaar een verassing' aan de kleine geven?

Je mag er wel op rekenen dat VTech dit op lost, echter denk ik dat het op pakjesavond nog net te kort dag is, ze moeten eerst de boel uitpluizen, dan bepalen wat er anders moet, dan moet dat gebouwd worden, ben je als het even tegen zit zo een week of 2 verder.

Armin

Netwerk en systeembeheer

@Justhim • 1 december 2015 19:00

volgens mij is er weinig mee te doen zonder account/connectie.

Wat let je om een onzin-account aan te maken? Dus geen echte gegevens van jezelf of kinderen? Ik weet niet of dat in dit geval kan, maar dat zou ik uberhaupt doen bij it soort vage online diensten.

Als het speelgoed verder goed bruikbaar en leuk is?

Dacuuu 1 december 2015 11:05

Chatlogs en foto's. Dat is wel erg zuur.
Waarom moeten de Chatlogs van bijna een jaar bewaard blijven? En waarschijnlijk niet encrypt ook.

Zwarte_os @Dacuuu • 1 december 2015 15:50

Dat is zo'n beetje de enige legitieme vraag in dit hele draadje. Die overspannen paniek om wat er eventueel op foto's kan staan. De echte vraag is waarom die foto's perse op een cloud moesten staan als je weet dat het hier om gegevens gaan waar je gewoon NIETS mee mag doen.

Verstekbakker 1 december 2015 12:48

VTech benadrukt dat geen creditcardgegevens zijn buitgemaakt.

Volgens mij zou dat veel minder erg zijn dan de gegevens die wel zijn buitgemaakt. Zo'n creditcard kun je blokkeren en dan krijg je een nieuwe (dan zijn de buitgemaakte gegevens waardeloos). Een identiteit (foto's, chatlogs, etc.) heeft dat voordeel niet...

[Reactie gewijzigd door Verstekbakker op 23 juli 2024 03:03]

NO_Excuses 1 december 2015 11:49

Best wel zielig als je Vtech hackt.
Hacken over het algemeen.
Maar een kinderplatform dat gaat wel erg ver.

MiesvanderLippe @NO_Excuses • 1 december 2015 15:23

Nee juist heel belangrijk! Ik ben ook blij dat hier iemand mee naar voren komt in plaats van dat we na jaren moeten horen dat iemand deze informatie op een darknet voor duizenden verkoopt aan pedofielen oid.

maniak @NO_Excuses • 1 december 2015 11:52

Foto's van kinderen kunnen gebruikt worden door pedofielen.. Andere gegevens, zoals BSN en creditcard voor andere doeleinden.. uiteindelijk is het de hacker te doen om geld, hij/zij verkoopt de gegevens door aan iedereen die belangstelling heeft.. Het gaat niet om de kinderen, maar om het geld..

killercow @maniak • 1 december 2015 13:56

Behalve dat het dus niet om geld gaat in dit geval, want hij heeft de media opgezicht zodat het probleem verholpen wordt door vtech. Iets waar ze tot dat moment geen gehoor aan gaven.

”Frankly, it makes me sick that I was able to get all this stuff.”

Maar houdt vooral je oogkleppen op en blame the messenger.

MenN @killercow • 1 december 2015 15:29

Inderdaad, het is makkelijk om de hacker hier als grote boze wolf neer te zetten. Maar het feit dat schijnbaar bij VTech chatlogs en foto's zo maar voor een erg lange periode opgeslagen werden zonder afdoende encryptie is het echte kwaad waar het om zou moeten gaan.

Dit soort bedrijven willen zich er nu makkelijk vanaf helpen met een bezorgd mailtje naar hun gebruikers, en thats it. Wat mij betreft mogen bedrijven veel en veel harder aangepakt worden voor dit soort praktijken. Persoonlijke gegevens inclusief metadata niet afdoende beschermd, moet resulteren in genadeloze boetes die het management eens flink door elkaar husselt!

moozzuzz @maniak • 1 december 2015 14:36

Het gaat over profielfoto's...

Jeroenneman 1 december 2015 11:25

Tja, en daarom moet je dus geen kiddy shit kopen, en je kinderen pas een tablet geven als ze met het volwaardige systeem om kunnen gaan.

Vtech. Bart Smit shit ten top.

CorvusGS @Jeroenneman • 1 december 2015 11:43

Het zijn wel degelijk de ouders die instaan voor het aanmaken van een account bij VTech.

Armin

Netwerk en systeembeheer

@CorvusGS • 1 december 2015 18:52

En ook inderdaad dom dat ouders/mensen blind alle gevraagde gegevens inkloppen. Bij dat soort accounts vul ik nooit mijjn echte data in. En geen SSL/TLS is natuurlijk al een rood zwaailicht.

Maar ja, als VTech heb je natuurlijkw el ene verantwoordelijkheid. Zeker als je kinderen als doelgroep hebt.

Verwijderd 1 december 2015 14:44

De hacker heeft details over de kraak bekendgemaakt maar zou verder niets van plan zijn met de data.

Mooi zo, ik denk trouwens dat de beste man anders ook meteen al z'n hacker vriendjes boos had gemaakt, sommige dingen doe je gewoon niet (bijv alles omtrent kids, logisch ook)

Verder ben ik wel benieuwd (is misschien wel ergens gemeld maar heb ik dan gemist) of het eerst aan VTech is gemeld, en zo ja hoe lang hij ze de tijd heeft gegeven.

Op dit item kan niet meer gereageerd worden.

VTech-hacker kreeg ook foto's en chatlogs van speelgoedgebruikers in handen

Lees meer

IT-banen

Reacties (74)

Sorteer op:

Weergave: