Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties

Speelgoedfabrikant VTech heeft een nieuwe verklaring naar buiten gebracht over de hack waar het bedrijf door werd getroffen. Daaruit blijkt dat zo'n 6,4 miljoen profielen van kinderen in handen zijn gekomen van de hacker, veel meer dan aanvankelijk werd gedacht.

Aanvankelijk werd gesteld dat er naast de accounts van ongeveer 5 miljoen volwassenen zo'n 200.000 profielen van kinderen waren gehackt. VTech schrijft woensdag in zijn vernieuwde verklaring over de omvangrijke hack dat het gaat om bijna 6,4 miljoen kinderen. Het bedrijf stelt dat het gaat om profielen van kinderen, die in tegenstelling tot de accounts van de volwassenen, alleen een naam, geslacht en geboortedatum bevatten. In totaal zijn dus gegevens van meer dan 11 miljoen personen in handen van de hacker.

Eerder deze week werd bekend dat de hacker claimt ook foto's en chatlogs van de speelgoedgebruikers in handen te hebben. Het zou gaan om 190GB aan materiaal. Die bewering zette hij kracht bij door duizenden geanonimiseerde foto's te delen met Motherboard. De hacker zei tegen de website geen kwade bedoelingen te hebben en er zelf 'ziek' van te zijn dat hij zo makkelijk aan al het materiaal kon komen.

In de nieuwe verklaring gaat VTech in op deze claim. Het bedrijf zegt nog niet te kunnen bevestigen of het klopt dat de hacker foto's van kinderen en hun ouders in handen heeft. Wel stelt VTech dat deze bestanden zijn versleuteld met aes128. Ook audiologs zouden zijn voorzien van encryptie, in tegenstelling tot de chatlogs.

VTech heeft uiteengezet waar de getroffen accounts en profielen vandaan komen. Daaruit blijkt dat er 133.179 profielen van Belgische en 124.730 profielen van Nederlandse kinderen zijn gehackt. Het aantal gehackte accounts van ouders komt uit op 102.119 voor België en 100.828 in Nederland.

Moderatie-faq Wijzig weergave

Reacties (55)

Waarom zou je uberhaupt je geboortedatum achterlaten op zo'n site? Een geboortedatum wordt nog wel eens voor verificatiedoeleinden gebruikt, daarom zou ik m'n geboortedatum alleen achterlaten bij instellingen waarbij dat ook echt van belang is (financiele instellingen, overheid). Zelf heb ik daarom de gewoonte om bij alle andere sites die vragen om een geboortedatum een fictieve datum op te geven. Hopelijk doen meer mensen dat.

[Reactie gewijzigd door Tweade op 2 december 2015 09:55]

Mijn eigen geboortedatum vul ik ook nooit ergens in.

Mijn dochter van 2 heeft een V'Tech apparaat (de beer Nina). Met behulp van Explor@ Park kan je hierin de geboortedatum invullen, en andere bijzondere dagen. De beer gaat dan mijn dochter hieraan herinneren / feliciteren. Vindt ze prachtig. Daarom dus.

De beer is echter niet online. De Explor@ Park software installeer je op je PC, en via USB configureer je de beer dan. Hier hoefde ook geen profiel voor aangemaakt te worden overigens, en dit kan ook zonder internetverbinding. Blijkbaar moet dit voor de speelgoed-tablets wel. Daar zou ik dan ook een stuk terughoudender in zijn. Maar voor veel andere mensen geldt dit niet, want "ze hebben toch niets te verbergen?" 8)7
Mijn dochter heeft een Storio2. Deze kan je perfect gebruiken zonder hem ooit aan een PC of het internet te hangen. Maar je kan hem echter registreren om 2 games gratis te kunnen installeren. Hiervoor moest je een Explor@ Park account aanmaken, hierdoor ben ik ook één van de 4.8 miljoen gelukkigen :)
Voor de beer moesten wij wel een account aanmaken. De instellingen liepen echter wel via de losse applicatie.

Het is inderdaad leuk om feestdagen en voorkeuren in te stellen.
De pop roept dan dingen als. "*naamKind*, ga je mee naar de dierentuin, misschien zien we wel *Apen* ".
"*naamKind*, Het is etenstijd, heb jij ook zo'n zin in *kokosnoten* ".
Je kunt best grappige voorkeuren instellen die dan weer bijzonder geuit worden door de beer. ;)

De kindernamen zijn volgens mij door een echt persoon ingesproken. Je kunt ook namen aanvragen als ze niet in de lijst staan. Misschien dat daar de account dan weer voor nodig is?
Volgens mij heb je ook een Explor account moeten aanmaken.

Ik heb mijn dochter ook een Nina gegeven nav jouw verhaal. Alleen kan ik Nina niet meer instellen omdat de Explor@ park software niet meer verkrijgbaar is.

Over een kat in de zak gesproken.
En buitenom dat verbergen, bijna iedere website vraagt om dat soort data bij accounts. Bijna niemand denkt er echt bij na dat die data dan vervolgens ook daadwerkelijk ergens wordt opgeslagen en dat dat niet altijd veilig is.
Waarom er zo moeilijk wordt gedaan over een geboortedatum is mij nooit volledig duidelijk. Wat heeft iemand hieraan, afgezien van jou een verjaardagskaartje sturen? Begrijp me niet verkeerd, ik geef zelf ook altijd een fictieve datum omdat ik niet vind dat sites iets aan mijn verjaardag hebben, maar van alle informatie die ze vergaren heeft een hacker hier toch wel het minste aan.

Los van het kwalijk zijn van de hack an sich, geloof ik niet dat de hacker rijk gaat worden van een lijst namen met geslacht en geboortedatum erbij.
Oei dat vind ik toch een hele naieve opmerking. Profilering is waar die bedrijven en de ad netwerken die de data kopen van leven en daar zijn ze verrekte goed in.

Leeftijd kind, leeftijd ouders en locatie, puur die drie dingen, kan al zo'n schat aan informatie opleveren. Zijn mensen in die regio rijk of niet? Hoog opgeleid of niet? Hebben ze laat of vroeg kinderen gekregen, welke interessegroep zitten de kinderen en hoe kunnen we de ads daarop afstemmen? Wat voor krediet score is gemiddeld voor die regio en leeftijdsgroep? etc etc
Die drie soorten gegevens zijn misschien niet veel maar staan nooit op zichzelf en worden gekoppeld aan andere gegevens, oftewel dataverrijking. Vergis je daar niet in.

En als je als ouder dat beseft en bewust die keuze maakt staat dat iedereen vrij. de werkelijkheid is echter dat de meeste mensen niet beseffen welke informatie ze opgeven en wat daarmee gebeurt. En zolang dat het geval is, dienen bedrijven die zulke data opvragen op z'n minst er voor te zorgen dat die degelijk beveiligd is. En dat gebeurt dus veel te vaak niet, zoals nu weer bewezen is.

[Reactie gewijzigd door Dasprive op 2 december 2015 10:24]

Kinderen zijn ook een geweldig doelwit voor toekomstige identiteitsdiefstal. Hun uiterlijk wijzigt snel over de jaren. Dus met basis gelijkenis en basisinformatie kom je al een heel eind binnen enkele jaren. "jeugdfoto's" en andere extra's kunnen dan misbruikt worden om het profiel te vervolledigen.
Op die manier zou je toch ook gemakkelijk Facebook kunnen leegtrekken? Voor identiteitsdiefstal heb je toch wel meer belangrijke informatie nodig, vooral hetgeen je aantreft op identiteitsbewijzen.
Niets zegt dat uiteindelijk geen informatie van meerdere bronnen wordt samen gevoegd. Volledige naam, gebroortedatum, foto, familie-info... het is alvast een aardig begin.

Wie weet is het al genoeg voor zoiets als baby-smokkel ofzo.
Als je telefonisch contact opneemt met een bedrijf wordt je identiteit soms geverifieerd aan de hand van je geboortedatum en postcode. Het is dan natuurlijk niet zo fijn als die gegevens op straat liggen, dat werkt identiteitsfraude in de hand. En dat kan behoorlijk vervelende situaties geven, als iemand in jouw naam handelingen gaat verrichten.
Waarom er zo moeilijk wordt gedaan over een geboortedatum is mij nooit volledig duidelijk.

Omdat het net als een BSN als indentificatie gebruikt wordt. In een land als Nederland met een centraal GBA waar alles aan getoetst wordt (privacy = nul, veiligheid = hoog) is het gevaar inderdaad niet zo groot. In een land als de USA of het VK waar men geen GBA heeft (privacy = hoog, veiligheid = laag) is dat dus wel relevant daar het vaak gebruikt wordt als secundaire identifciatie bij bijvoorbeeld het afnemen van zorg.
Geboortedata en namen van kinderen zijn juist perfect...

Die gegevens veranderen nooit (vrouwen die trouwen uitgesloten dan). En elke ouder zal het waarheidsgetrouw invullen (want anders raakt het kind door de war).

Ga je hetzelfde aan een 15-jarige oid vragen dan is de kans zeer groot dat die fake info geeft alleen tja, dan hebben de grote jongens al de daadwerkelijke info van 13 jaar geleden.

Heb je wel enig idee hoe moeilijk het is voor bijv een google om een leeftijd aan een profiel te hangen, die krijgen gewoon 40 verschillende leeftijden door vanuit allerlei bronnen en weten niet exact welke betrouwbaar zijn, maar die gegevens die ooit voor een kind ingevuld zijn, tja dat is betrouwbaar en op basis daarvan kan je zeggen dat je gegevens van een 20-jarige doelgroep verkoopt.
Geboortedatum wordt vaak gebruikt voor functionaliteit. Zo kunnen ze je een leuke verjaardagswens sturen via hun appje, of andere 'vriendjes' een herinnering sturen dat je jarig bent.

Daarnaast wordt het natuurlijk ook gewoon gebruikt voor reclame natuurlijk. Want dan krijg je speciaal voor je verjaardag een kortingscode of iets dergelijks :P De een vindt het leuk, de ander vraagt zich af wat die ermee moet.
Onder het mom van een verjaardagswens of kadootje weten ze je extra gegevens te ontlokken. Het is meestal geen aardigheidje van een website of app. Het is puur gegevens verzamelen, het is allemaal geld waard.
Ik begrijp dat wel hoor. Het is voor een kind best indrukwekkend als jouw speelgoed weet hoe oud je bent en je kan feliciteren met je verjaardag. Juist voor kinderen is een geboortedatum veel belangrijker dan voor volwassenen.
Een geboortedatum van een kind op een educatieve instelling kan zeer zeker handig zijn.

Naast 'leuke' dingen als een verjaardag popupje kan je gemakkelijker profileren, wat tegelijkertijd het nadeel als voordeel is.
Zo heb ik zelf een project, waarbij het goed mogelijk is, dat een kind al ouder is dan de klas, waar hij/zij in zit.
De wat oudere kinderen mogen dan wel ergens aan meedoen, al zitten ze een klasje lager.

Maar ja.. altijd voorzichtig met de gegevens van je kinderen. Plaats ook niet constant -alles- op Facebook (hoop nieuwe moeders zijn iets te enthu)
Dat doe ik ook, ik geef een nep-dag op (in de juiste maand).

Wat hooguit leidt tot onverwachte verjaardags-spam. En een hele hoop collega's die je feliciteren omdat LinkedIn opeens besluit je verjaardag te publiceren. ;)

Sinds ik een dochter heb ben ik nog scherper op haar gegevens. Toch is het lastig. Zo had ik ooit als doel haar 2e naam nooit ergens te gebruiken, behalve voor de overheid. Maar voor je het weet zijn er 4 luchtvaartmaatschappijen die ook haar 2e naam hebben.

Sites als V-tech (waar ik haar niet heb geregistreerd) zullen het moeten doen met haar Voornaam + Moeder's Meisjesnaam + Websitecodering + 1e van de geboortemaand.

Bijvoorbeeld Sophie de Jong (Vtech) 1-11-2012.

voorbeeld puur verzonnen natuurlijk ;-)
Wel stelt VTech dat deze bestanden zijn versleuteld met aes128. Ook audiologs zouden zijn voorzien van encryptie, in tegenstelling tot de chatlogs.
Ja... en? Deze opmerking is waardeloos. Waar werd de bijbehorende sleutel bewaard en gebruikt? Is die ook in handen van de hacker?

[Reactie gewijzigd door The Zep Man op 2 december 2015 09:50]

De waarde van die opmerking wordt compleet teniet gedaan door het feit dat ze zeiden dat wachtwoorden ook waren versleuteld, terwijl dat om niets anders dan MD5 hash zonder salt bleek te gaan. Ik neem die opmerking dan ook met een korrel zout ter grootte van een planeet.

[Reactie gewijzigd door .oisyn op 2 december 2015 10:49]

En is het een unieke key pair per apparaat; of 1 sleutel voor alle data van alle devices?
Het is sowieso een load of crap. Als ze versleuteld waren, waren deze foto's er niet geweest.
En nee, die foto's komen niet van Facebook o.i.d. Troy Hunt, die de gegevens gekregen heeft, heeft er een paar nagezocht en contact gezocht met de slachtoffers: http://arstechnica.com/se...e-the-massive-vtech-hack/

Hoe het precies beveiligd was, is nog niet bekend. Maar de hacker kon heel eenvoudig root access krijgen, en dan kun je encrypten tot je een ons weegt natuurlijk.
De hacker zei tegen de website geen kwade bedoelingen te hebben en er zelf 'ziek' van te zijn dat hij zo makkelijk aan al het materiaal kon komen.
Jaja, geen kwade bedoelingen etc, maar wel het materiaal downloaden. Als je geen kwade bedoelingen hebt dan laat je het gewoon op z'n plek.
Als de hacker dit inderdaad alleen gedaan heeft om een punt te maken en geen misbruik maakt van de gegevens dan zou je blij moeten zijn.
De melding is gedaan vanuit de hacker vtech zelf had nog niks door. (via motherboard)
Keurige manier van white hack tot dusver. Hopen dat hij zo blijft.

[Reactie gewijzigd door SED op 2 december 2015 10:18]

De melding is gedaan vanuit de hacker vtech zelf had nog niks door.
Ik lees dat Vtech door een journalist hiervan wist die er vragen over stelde.
We received an email from a journalist asking about the incident on November 23 EST. After receiving the email, we carried out an internal investigation and detected some irregular activity on our Learning Lodge website on November 14 HKT.
http://motherboard.vice.c...reds-of-thousands-of-kids

Motherboards heeft namens de hacker de zaak aanhangig gemaakt. Is vrij normale zaak dat een hacker ook credits vraagt voor zijn werk. Er is in ieder geval nog geen sprake van misbruik van deze gegevens en ook de uitgelekte data als voorbeld is geanonimiseerd ( zie bijv de fotos)
http://motherboard.vice.c...tlogs-from-toymaker-vtech

[Reactie gewijzigd door SED op 3 december 2015 09:21]

Weinig shockerend dat je 190GB extra traffic en een paar honderd duizend requests terug ziet in je logs. Ze doen het spannender klinken dan het is
Als de hacker dit inderdaad alleen gedaan heeft om een punt te maken en geen misbruik maakt van de gegevens dan zou je blij moeten zijn.
De melding is gedaan vanuit de hacker vtech zelf had nog niks door. (via motherboard)
Keurige manier van white hack tot dusver. Hopen dat hij zo blijft.
Ignorance is bliss zullen we maar zeggen...

See no evil, hear no evil etc.

Als de hacker misbruik maakt van de gegevens dan ga je dit nooit terugzien, want hij zal het gewoon verkopen zonder het woordje tech erbij.
De hacking community is beslist niet "ignorant", dus je lijkt nu vooral je eigen gebrek aan kennis hierover te projecteren ;)
Als-ie niet had gedownload, had niemand het geweten. Men schreeuwt pas moord en brand zodra er een moord is gepleegd of zodra er iets in de fik staat.
Nou, daar zitten een paar programmeurs met hun handen in het haar zeg. Behoor zelf ook tot die groep programmeurs die klantgegevens moet verwerken en dit zou toch wel het ergste zijn dat iemand kan overkomen.

En natuurlijk kan iedereen wel weer gaan zitten emmeren over dat alles veiliger en beter had moeten worden geïmplementeerd, maar wanneer er al miljoenen regels code zijn dan is dat een knap lastig karwei.
Maar ja, iedereen moet tegenwoordig zijn 15 minutes of fame hebben, en als je als script kiddie bij vtech binnen komt word je niet beroemd/berucht door het juiste te doen, vtech in te lichten en al die kinderen en ouders beschermen. Nee dan zoek je de publiciteit en roep je achteraf dat je er "ziek" van bent. Wat mij betreft mag deze gast keihard aangepakt worden. Ik heb liever een cultuur waarin tech sites als tweakers heldenverhalen kunnen publiceren over hacktivisten die voorkomen hebben dat de accounts van miljoenen kinderen in handen van een hacker kwamen, dan dat het eerst moet gebeuren. Helaas vindt de pers dat niet zo interessant meer tegenwoordig, ellende is makkelijker te begrijpen voor de leek dan een tech verhaal over wat er mis had kunnen gaan.

[Reactie gewijzigd door CopyCatz op 2 december 2015 09:56]

Helaas gaat dat iet altijd. Soms moet je als hacker de publiciteit in voor ht bedrijf in kwestie reageert. Hema bijvoorbeeld reageerde pas maanden later nadat Revspace ze ingelicht had, en pas na publiciteit.
"Soms moet je als hacker ......" Sorry hoor, maar je hebt helemaal niets te zoeken in andermans spullen, ook niet in zijn bits en bytes. Keihard aanpakken die zelfbenoemde `goede` hackers.
Wat enorm kortzichtig geredeneerd. Ik als vader van twee kinderen zou ook wel graag willen weten of hun gegevens veilig zijn als er een account aangemaakt moet worden. Punt is dat er zo ontzettend veel blunders zijn gemaakt in het hele systeem dat het vrij gemakkelijk bleek de gegevens te achterhalen:
  • Wachtwoorden in MD5 zonder salt
  • Foutmeldingen waar de betreffende SQL queries in staan (afgezien van het feit dat dat sowieso dom is, impliceert dat ook nog eens dat ze geen geparametriseerde queries hebben gebruikt. De hacker heeft de gegevens dan ook weten te achterhalen via SQL injection)
  • Op geen enkel moment in het proces wordt er gebruik gemaakt van SSL
Je probeert dus wat en waarempel, alles ligt ineens op straat. We hebben het hier verdomme over gegevens van kleine kinderen. En wat doet het bedrijf zelf? "Uw gegevens zijn gehackt, maar geen paniek hoor, de creditcardgegevens zijn veilig". Who fucking cares, een CC kun je blokkeren en daarnaast ben je verzekerd tegen fraude. Maar gegevens die online komen te staan krijg je nooit meer weg en kunnen je kinderen voor de rest van hun leven achtervolgen. De hacker in kwestie heeft maar 1 ding kunnen doen: publiciteit opzoeken en zorgen dat de hele wereld ervan weet.

Maar jij wilt dus liever dat we allemaal een oogje dichtknijpen, want ja, als niemand anders achter de gegevens probeert te komen dan is het prima, toch?

[Reactie gewijzigd door .oisyn op 2 december 2015 10:46]

Wat enorm kortzichtig geredeneerd. Ik als vader van twee kinderen zou ook wel graag willen weten of hun gegevens veilig zijn als er een account aangemaakt moet worden.
Als je daar zo bang voor bent waarom laat maak je dan dat soort accounts aan? Als ouder heb je zelf ook een verantwoordelijkheid.

Overigens riep iemand hier ook dat het een schande was en dat de foto van zijn kind en de geboortedatum absoluut niet publiek toegankelijk zouden mogen zijn. Het duurde slechts enkele minuten tot we hem zijn eigen FB post konden laten zien waar hij als trotse vader een foto van zijn schattige dochter op haar 7de verjaardag plaatste. Toegankelijk voor iedereen (hoewel je er in Belgie nu een FB account voor moet hebben!).
Als je daar zo bang voor bent waarom laat maak je dan dat soort accounts aan?
Lees de laatste zin die je van mij quotet nog 'ns.

Maar idd, ik doe het in principe niet, en anders met valse gegevens. Dit neemt de noodzaak voor bescherming van de gegevens echter niet weg.

[Reactie gewijzigd door .oisyn op 2 december 2015 20:13]

Dit soort bedrijven springen zeer onzorgvuldig om met persoonsgegevens van jou en mij.
Een slecht beveiligde site word hoe dan ook op een gegeven moment gekraakt, dit kan dus ook kwaadwillende gebeuren.
Het is dus wel fijn dat er goedbedoelde hackers zijn die het een en ander aanhangig maken.
Ik vind wel dat eerst ten alle tijden contact moet worden gezocht met het bedrijf achter de site en dat de eis aanvaardbaar moet zijn.
Ik ben het met je eens dat de juiste manier van handelen is dat je eerst het bedrijf zelf inlicht en pas als het probleem is opgelost naar de media gaat. In dit geval lijkt het in ieder geval te gaan om iemand met goede bedoelingen, ook al is de uitvoering niet geweldig.

Wat het moeilijk maakt is dat er geen goede klokkenluidersregeling is voor krakers. Wie een probleem meldt loopt het risico om zelf verantwoordelijk te worden gesteld voor "hacken".
Daar komt bij dat veel bedrijven niet willen of niet kunnen reageren op dit soort meldingen. Mijn ervaring is dat je bij de meeste meldingen nooit een reactie krijgt. Als je een reactie krijgt dan wordt in de meeste gevallen het probleem ontkent of gebagatelliseerd. Bedrijven die je bedanken voor de tip zijn zeldzaam. Als je bedankt wordt dan is het door iemand van de IT-afdeling en niet door het management. Daarvan krijg je een eerder halve bedreiging van de huisjurist als dank.

Justitie en media snappen het vaak ook niet en gaan als een dolle stier te werk. Als een bedrijf aangifte tegen je doet voor kraken dan ben je zo een jaar van je leven kwijt. Daarom kiezen velen er voor om anoniem te blijven.

Dan is er nog zo iets als het algehele belang. Als maatschappij moeten we weten hoeveel er gekraakt wordt en welke informatie er is uitgelekt. Alles verborgen houden is schadelijk want dan kunnen we niet leren van onze fouten.
Bedrijven hebben nogal de neiging om problemen te ontkennen. Als je het probleem meldt en pas als het is opgelost naar de media gaat dan zullen bedrijven ontkennen dat er ooit een probleem is geweest. Als de kraker wat data download en publiceert dan kunnen ze het niet ontkennen en weet het publiek dat z'n data kan zijn gelekt.

In deze zaak zie ik zo iets door de kieren heen schijnen:
Het bedrijf zegt nog niet te kunnen bevestigen of het klopt dat de hacker foto's van kinderen en hun ouders in handen heeft. Wel stelt VTech dat deze bestanden zijn versleuteld met aes128. Ook audiologs zouden zijn voorzien van encryptie, in tegenstelling tot de chatlogs.
Ik weet niet genoeg van deze zaak om te bepalen of deze kraker in dit geval het juiste heeft gedaan.
Dat is dus zo'n gevalletje waarin het bedrijf probeert te ontkennen dat er een probleem is. De foto's staan al op internet, er is geen twijfel dat deze kraker daar toegang tot had, toch komt VTech met een rookgordijn over encryptie. Óf ze snappen het echt niet óf ze staan opzettelijk te liegen. In beide gevallen wil ik er niks mee te maken hebben.

Ik moet het wel een beetje nuanceren want het kan ook nog dat de media de zaak hebben verdraaid, dat zou niet de eerste keer zijn. In het artikel is er bijvoorbeeld spraken van "audiologs". Hoewel ik me iets bij de naam kan voorstellen denk ik dat het hier eigenlijk om "audiT logs" gaat.
Die programmeurs horen ook met hun handen in het haar te zitten.
Iedereen wil data, maar niemand wil mensen betalen die voldoende gekwalificeerd zijn om zoiets veilig op te zetten. Programmeurs denken allemaal dat ze wel weten hoe ze't moeten doen, terwijl het gros geen benul heeft van security. Hand in eigen boezem steken en tegen management klagen dat je niet weet hoe je't veilig moet doen.

Maar wie echt met de billen bloot hoort te staan is het management van V-Tech.
Het hoort gewoon niet dat ze chatlogs/audiologs en whatnot bijhouden van kinderen. Dat is absoluut not done. Ik vind het al fout bij volwassenen, maar dit is nog een grote schep erbovenop.

Ik hoop dat er een aanklacht komt en dat er VTech managers een portie jailtime doen wegens nalatigheid, misbruik van vertrouwen en wat ze nog allemaal kunnen vinden.
Iedereen wil data, maar niemand wil mensen betalen die voldoende gekwalificeerd zijn om zoiets veilig op te zetten. Programmeurs denken allemaal dat ze wel weten hoe ze't moeten doen, terwijl het gros geen benul heeft van security. Hand in eigen boezem steken en tegen management klagen dat je niet weet hoe je't veilig moet doen.
Makkelijker gezegd dan gedaan want dan vraag je het management dus eigenlijk om je te ontslaan. In Nederland heb je nog wel enige ontslagbescherming maar in een hoop andere landen niet. Als jij het niet wil programmeren dan staan er tien anderen klaar die het wel willen doen, dan mag jij weer een arme boer worden.

Wij blijven ze maar in huren want het is zo lekker goedkoop. De ellende die de slechte code oplevert zie je pas later en is vooraf haast niet te kwantificeren.
Het hoort gewoon niet dat ze chatlogs/audiologs en whatnot bijhouden van kinderen. Dat is absoluut not done. Ik vind het al fout bij volwassenen, maar dit is nog een grote schep erbovenop.
Daar ben ik het niet mee eens. Dat ze die data bewaren is deel van de functionaliteit van het product. Als je als ouder een app op je smartphone hebt waarmee je met je kind kunt communiceren, en je koopt een nieuwe telefoon, dan wil je dat die data met je mee migreert. Of als je partner ook de app installeert, dat die dan ook kan zien welke grappige dingen je kind vorige week heeft gedaan. Daar is volgens mij niks mis mee.

Het probleem is dat het dramatisch slecht beveiligd was. Het is duidelijk dat deze speelgoedmaker gewoon niet goed was in IT. Je ziet dat vaker bij organisaties die primair een ander doel hebben. Overheden bijvoorbeeld.

Wat ik bijvoorbeeld ook niet echt snap is waarom alle content meteen buitgemaakt is. Als de user data gecompromitteerd is, dan nog zou je denken dat dingen als foto's en communicatie in een ander systeem zouden moeten zitten waar je hooguit pas bij zou kunnen door de gevonden wachtwoord-info te ontsleutelen en daarna de communicatie-services te benaderen. Niet dat de feitelijke data meteen in dezelfde database zit als de klantgegevens.

Dit alles lijkt mij vooral wijzen op een bedrijf dat van speelgoedjes-fabrikant is uitgegroeid tot IT-bedrijf zonder de daarbij behorende professionalisering van IT.
Nou, als je af en toe ziet wat voor code er gebruikt wordt voor verzekeraars dan heb ik zwaar het vermoeden dat een bedrijf als vtech met al die chinese producten niet heel veel meer aandacht daar aan heeft besteed. Mijn vermoeden is dat er gewoon hele grote prutsers aan het werk zijn geweest voor een spotprijsje. Want IT, en zeker veiligheid, is iets leuks voor erbij wanneer je 'serieuze zakendingen' doet.

[Reactie gewijzigd door Zwarte_os op 2 december 2015 11:02]

Dit soort acties zijn kennelijk nodig voordat sommige bedrijven verantwoordelijk met de gegevens van hun klanten omgaan. Fijn dat het er op lijkt dat dit iemand is die zelf geen misbruik van de gegevens gaat maken. Aangezien hij de moeite neemt om zijn bewijsmateriaal te anonimiseren krijg ik in ieder geval de indruk dat het geen kwaadwillende is.
Nadeel is dat dit soort bedrijven het prima weten af te schuiven op 'die gemene hackers'. Gelukkig kan dat niet meer met de nieuwe wetgeving dus ik ben heel benieuwd hoe dit gaat uitspelen in Nederland.
Het zou gaan om 190GB aan materiaal. Die bewering zette hij kracht bij door duizenden geanonimiseerde foto's te delen met Motherboard. De hacker zei tegen de website geen kwade bedoelingen te hebben en er zelf 'ziek' van te zijn dat hij zo makkelijk aan al het materiaal kon komen.
Ok, laten we er nog even van uit gaan dat de hacker inderdaad geen kwade bedoelingen heeft, maar waarom heeft ie dan niet gewoon het lek gemeld zodat het gedicht kon worden? 190 GB aan data is wel wat meer dan wat data om je gelijk aan te kunnen tonen.
Alle gegevens zijn doorgespeeld aan een journalist, waarschijnlijk met het idee om anoniem te blijven. Je ziet vaak genoeg dat dergelijke bedrijven alsnog achter de hackers aangaan, goede bedoelingen of niet. De journalisten in kwestie hebben contact opgenomen met het bedrijf maar kregen zo goed als nul op het rekest. Ze werden van het kastje naar de muur gestuurd en niemand leek het iets te interesseren.
Mijn god wat zijn we weer lekker bezig. Een heel bedrijf failliet laten gaan omdat er een aantal mensen fouten gemaakt hebben, digitale aanranding zelfs. Beetje overdreven niet?

Toen Sony PlayStation accounts gehackt werden en creditcard nummers werden buitgemaakt was dat ook vervelend, maar je weet dat dit soort dingen kunnen gebeuren. Niks is ooit 100% veilig.
Er wordt gewoon te laks met gebruikersgegevens omgesprongen.
Als je het over 11 miljoen gebruikers hebt kun je niet meer wegkomen met 'omdat er een aantal mensen fouten hebben gemaakt'. Je stapt er wel heel makkelijk overheen door het allemaal maar te accepteren.

Ik probeer mezelf te beschermen door simpelweg op elk online registratie formulier te liegen...

[Reactie gewijzigd door [Yellow] op 2 december 2015 16:09]

Er wordt gewoon te laks met gebruikersgegevens omgesprongen.
Als je het over 11 miljoen gebruikers hebt kun je niet meer wegkomen met 'omdat er een aantal mensen fouten hebben gemaakt'. Je stapt er wel heel makkelijk overheen door het allemaal maar te accepteren.
Yellow accepteert het niet maar zet terechte kanttekeningen bij de rant van nms2003. Dit soort fouten zullen altijd gemaakt worden, zelfs in de meest gecontroleerde en niet 'lakse' bedrijven. Fouten zijn menselijk, ook als het grote database betreft. We moeten er alleen goed mee omgaan. En inderdaad, goed mee omgaan kan betekenen dat het management van een dergelijk bedrijf of afdeling ontslag krijgt of aangeklaagd word als er wetten zijn overtreden.

Of dat nu over 500 of 11.000.000 accounts gaat maakt in feite alleen uit voor de nieuwswaarde, niet voor de fout op zich.
De 'fout' om 't zooitje niet degelijk te beveiligen. Het was (volgens de hacker) immers geheel niét beveiligd. Er niets voor (willen) doen om je userbase te beschermen vind je een 2e kans waard?
Zou het niet net als bij Sony ex-werknemers kunnen zijn geweest die hun voormalige werkgever een hak willen zetten? Zou in ieder geval kunnen verklaren waarom hij die aes128 encryptie zo makkelijk heeft kunnen omzeilen om de foto's te ontcijferen.

In dat geval mogen ze zo iemand van mij wel een paar jaartjes laten brommen in een gezellige Chinese gevangenis.
Is er dan niemand bezorgd om wat er met de gegevens van al die vault dwellers gaat gebeuren... ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True