Hackere har fået adgang til 5.547 profiler af danske børn via legetøjsgigant
Brugerprofiler på 4.504 danske forældre og 5,547 danske børn er blevet kompromitteret i et hackerangreb mod legetøjsproducenten Vtech den 14. november. På verdensplan er over 10 millioner brugerprofiler ramte af hackerangrebet.
Hackerangrebet blev opdaget den 24. november, og først nu er det offentliggjort i hvilke lande, brugerne er ramte, hvoraf Danmark er et af dem.
Vtech laver elektronisk legetøj til mindre børn, blandt andet tablets, hvor børnene kan kommunikere med deres forældre.
Det er virksomhedens kundedatabase i app-butikken Learning Lodge, der er blevet hacket sammen med systemet Kid Connect, der står for at håndtere beskederne mellem forældre og børn.
De kompromitterede oplysninger er derfor blandt andet beskederne mellem børnene og forældrene, og som ifølge Vtech er opbevaret ukrypteret på selskabets servere i mindst 30 dage.
Samtidig er også navne, fødselsdage og køn på børnene kompromitteret sammen med informationer om forældrenes navne, email-adresse, hemmeligt spørgsmål og svar for at nulstille kodeord, ip-adresse, postadresse, download-historik samt krypteret kodeord.
Profilbilleder og lydoptagelser er også kompromitterede, men da de er krypterede, er det ikke sandsynligt, at hackerne kan bruge dem til noget. De blev krypteret efter standarden AES128.
Hackerne har ifølge Vtech ikke fået adgang til kreditkortoplysninger.
»Desværre var vores Learning Lodge, Kid Connect og PlanetVtech databaser ikke så sikre, som de skulle have været,« oplyser selskabet, der indtil videre har suspenderet Kid Connect samt Learning Lodge-tjenesterne sammen med en række websites.
Indtil videre tyder det på, at hackerangrebet kun har ramt legetøjsfirmaets servere. Derfor burde hackerne ikke kunne få direkte adgang til børnenes enheder, oplyser Vtech.
»Der er ikke noget bevis, der tyder på, at legetøjet er usikkert på nuværende tidspunkt. Vi vil fortsætte undersøgelsen og dele yderligere oplysninger, når de kommer.«
Sikkerhedseksperten Alan Woodward har tidligere udtalt til BBC, at angrebet sandsynligvis er begået med noget så simpelt som SQL-injection
»Hvis det er tilfældet, så er det virkelig utilgiveligt - det er så gammelt et angreb, at enhver standardsikkerhedstest burde se efter det,« sagde han.
Vtech oplyser, at selskabet kontaktede kunderne den 27. november - 3 dage efter, det opdagede hacket.
