เป็นเวลาที่วุ่นวายสำหรับ VTech ผู้จำหน่ายผลิตภัณฑ์การเรียนรู้ทางอิเล็กทรอนิกส์สำหรับเด็ก บริษัทในฮ่องกงประกาศแผนการซื้อกิจการสำหรับคู่แข่งในตลาดตรง LeapFrog ด้วยเงิน 72 ล้านดอลลาร์ ขยายส่วนแบ่งการตลาดอย่างมากและวางตำแหน่งตัวเองให้เป็นหนึ่งในนักพัฒนาและซัพพลายเออร์ระดับแนวหน้าในผลิตภัณฑ์การเรียนรู้ทางอิเล็กทรอนิกส์สำหรับเด็ก น่าเสียดายที่สัปดาห์ไม่เป็นไปตามแผนที่วางไว้
VTech ได้ปรับปรุงข้อกำหนดและเงื่อนไขหลังจากการแฮ็กครั้งใหญ่ในปี 2015 โดยเปลี่ยนหน้าที่ความรับผิดชอบให้พ่อแม่และผู้ดูแลอย่างโจ่งแจ้งโดยไม่ต้องคิดเลย
พวกเขาเปลี่ยนแปลงอะไร? พวกเขาได้อะไรมาบ้าง? คุณควรทำอย่างไร?
เกิดอะไรขึ้นกับ VTech
VTech ถูกแฮ็กเมื่อเดือนพฤศจิกายนปีที่แล้ว ผู้โจมตีใช้ข้อมูลจากบัญชีสำหรับผู้ใหญ่มากกว่า 4 ล้านบัญชี และบัญชีย่อยมากกว่า 6 ล้านบัญชี การแฮ็กเปิดเผยข้อมูลส่วนบุคคลของบัญชีที่ถูกบุกรุกแต่ละบัญชี รวมถึงชื่อ ที่อยู่อีเมล รหัสผ่าน คำถามและคำตอบที่เป็นความลับ ที่อยู่ IP ที่อยู่ทางไปรษณีย์ และประวัติการดาวน์โหลด นอกจากนี้ Learning Lodge ฐานข้อมูลร้านแอปของ VTech ก็ถูกบุกรุกเช่นกัน
จากที่นี่ ข้อมูลต่างๆ ซึ่งรวมถึงบันทึกการแชท ไฟล์เสียงส่วนบุคคล และรูปถ่ายถูกบุกรุก ซึ่งส่วนใหญ่เป็นของเด็กๆ โดยตรงที่ใช้อุปกรณ์
ช่องโหว่
แฮ็คถูกเปิดเผยโดยลอเรนโซ บิชเคราย ซึ่งเขียนให้กับ Motherboard ที่เน้นด้านเทคโนโลยีของนิตยสาร Vice สิ่งพิมพ์ หลังจากเผยแพร่บทความแรก Bicchierai ได้รับการติดต่อจากบุคคลที่อ้างว่าทำการแฮ็ก ซึ่งให้ภาพถ่ายที่มีความละเอียดอ่อนแก่นักข่าวเพื่อตรวจสอบ
จากนั้น Bicchierai ได้เชิญ Troy Hunt ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลมาวิเคราะห์ข้อมูลที่ให้มาเพื่อยืนยันว่าการรั่วไหลนั้นถูกต้องตามกฎหมาย มากกว่าที่จะเป็นการหลอกลวง ในการยืนยัน Hunt ได้วิเคราะห์ข้อมูลเพิ่มเติมและเผยแพร่รายละเอียดของช่องโหว่ที่ส่งผลต่อ VTech ช่องโหว่ตามที่ Hunt ค้นพบนั้นเลวร้ายมาก
ข้อบกพร่องในการอ้างอิงอ็อบเจ็กต์หมายความว่าผู้ใช้สามารถเข้าถึงบัญชีของผู้อื่นได้โดยง่ายโดยการก้าวผ่าน URL ระบบโฮสต์ทั้งหมดมีความอ่อนไหวอย่างยิ่งต่อการฉีด SQL รูปแบบใดๆ และมี:
"ไม่มี SSL ทุกที่... การสื่อสารทั้งหมดผ่านการเชื่อมต่อที่ไม่ได้เข้ารหัส รวมถึงเมื่อมีการส่งรหัสผ่าน รายละเอียดของผู้ปกครอง และข้อมูลละเอียดอ่อนเกี่ยวกับเด็ก"
นอกจากนี้ เขายังพบรหัสผ่านที่ "เข้ารหัส" ด้วยแฮช MD5 ธรรมดาๆ โดยไม่ต้องใส่เกลือ หรือแม้แต่มองเห็นอัลกอริธึมการแฮชขั้นสูง ซึ่งหมายความว่าใครก็ตามที่มีทักษะการใช้คอมพิวเตอร์ขั้นสูงเพียงเล็กน้อยก็สามารถถอดรหัสได้ในเวลาอันสั้น
นอกจากนี้ คำถามและคำตอบที่เป็นความลับถูกเก็บไว้ในข้อความธรรมดา โดยไม่มีมาตรการรักษาความปลอดภัยเพิ่มเติมเลย Hunt ยังตั้งข้อสังเกตว่าคำถามเพื่อความปลอดภัยมีคุณภาพต่ำ เช่น "คุณชอบสีอะไร" หรือ "คุณเกิดที่ไหน" และข้อมูลอื่นๆ ที่ง่ายต่อการค้นพบเช่นกัน
ผู้ใช้เด็ก
เมื่อผู้ปกครองสร้างบัญชีสำหรับผู้ใหญ่แล้ว ก็สามารถสร้างบัญชีย่อยได้ บัญชีเด็กแต่ละบัญชีเชื่อมโยงกับบัญชีสำหรับผู้ใหญ่โดยตรง และสามารถเพิ่มรูปประจำตัว วันเกิด และเพศได้
ข้อมูลจะถูกจัดเก็บไว้ในตารางอ้างอิงตัวเองโดยใช้ "parent_id" เพื่อเชื่อมโยงทั้งสองบัญชีเข้าด้วยกัน ดังนี้:
หมายความว่าด้วยข้อมูลเพิ่มเติมที่รักษาความปลอดภัยจากการละเมิด เด็กทุกคนสามารถจับคู่กับผู้ปกครองได้โดยเปิดเผยที่อยู่ของพวกเขาพร้อมกับข้อมูลส่วนบุคคลอื่นๆ อีกจำนวนมาก
เปลี่ยนข้อกำหนดและเงื่อนไข
เนื่องจากเรามักเผชิญกับข้อตกลงผู้ใช้ที่ยืดเยื้อ คำชี้แจงสิทธิ์ส่วนบุคคล การเปลี่ยนแปลงข้อกำหนดและเงื่อนไขของเว็บไซต์ เกม บริการ และอื่นๆ อีกมากมาย เราจึงกลายเป็นการดูหมิ่นภาษาที่ใช้เล็กน้อย ฉันไม่สามารถนับจำนวนข้อกำหนดและเงื่อนไขที่ฉันคลิกผ่านได้อย่างแน่นอน และสงสัยว่าในบางจุดฉันได้ลงนามในจิตวิญญาณของฉันหรือไม่
คุณอาจคิดว่าการตอบสนองมาตรฐานต่อการละเมิดข้อมูลที่สำคัญคือการตรวจสอบอย่างเข้มงวดในข้อบกพร่องด้านความปลอดภัยใดๆ ก็ตาม บางทีอาจเป็นการต้อนรับงานที่เสร็จสิ้นแล้วโดยผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลซึ่งกำลังพยายามปกป้องข้อมูลที่ละเอียดอ่อนที่เกี่ยวข้องกับเด็ก
ไม่ใช่สำหรับ VTech
แต่พวกเขาอัปเดตข้อกำหนดและเงื่อนไขด้วยคำศัพท์ที่ไม่น่าพอใจอย่างชัดเจน ในส่วนหัวข้อ ข้อจำกัดความรับผิด , ข้อกำหนดอ่าน:
"คุณรับทราบและยอมรับว่าข้อมูลใด ๆ ที่คุณส่งหรือรับระหว่างการใช้งานไซต์ของคุณอาจไม่ปลอดภัยและอาจถูกสกัดกั้นหรือได้มาโดยบุคคลที่ไม่ได้รับอนุญาตในภายหลัง"
ฉันเสียใจ. อะไร ผู้ใช้ตกลงไม่โกรธหรือให้บริษัทรับผิดชอบหากโดนแฮ็กอีก? ในปี 2016 บริษัทที่โปรโมตอุปกรณ์เครือข่ายในรูปแบบใดก็ตามอย่างมีความรับผิดชอบสามารถเปลี่ยนภาระความรับผิดชอบให้กับผู้ใช้ได้อย่างไรในสถานการณ์ที่พวกเขาแสวงหาข้อมูลที่ละเอียดอ่อนอย่างแข็งขันนั้นอยู่นอกเหนือฉัน
ยกเลิกหรือไม่
ไม่มีทาง. สำนักงานกรรมาธิการข้อมูลของสหราชอาณาจักรกำลังสืบสวนการละเมิดข้อมูล ซึ่งรวมถึงเขตอำนาจศาลของรัฐหลายแห่งในสหรัฐฯ ในทำนองเดียวกัน ภายหลังการละเมิดความเป็นส่วนตัวของฮ่องกง Stephen Wong ยืนยันว่าสำนักงานของเขาได้เริ่มต้น "การตรวจสอบการปฏิบัติตามข้อกำหนด" ใน VTech เพื่อประเมินว่าบริษัทปฏิบัติตามหลักการรักษาความปลอดภัยขั้นพื้นฐานหรือไม่
ขณะที่ฉันกำลังเขียนบทความนี้ สำนักงานคณะกรรมาธิการข้อมูลของสหราชอาณาจักรได้ยืนยันว่าข้อกำหนดและเงื่อนไขใหม่จะฝ่าฝืนกฎหมายของสหราชอาณาจักรในปัจจุบัน โดยระบุว่า:
"กฎหมายชัดเจนว่าเป็นองค์กรที่จัดการข้อมูลส่วนบุคคลของผู้คนซึ่งมีหน้าที่รับผิดชอบในการรักษาข้อมูลนั้นให้ปลอดภัย"
คุณควรทำอย่างไร
จริงๆ แล้ว จนกระทั่ง VTech ได้รับการพิสูจน์ว่าได้ยกเครื่องระบบความปลอดภัยครั้งใหญ่แล้ว อย่าใช้ผลิตภัณฑ์ของตน รวมถึงเว็บไซต์ด้วย
ในอนาคต ก่อนที่จะซื้อของเล่นเด็กในเครือข่าย ควรใช้การค้นหา "[ชื่อผลิตภัณฑ์/ชื่อบริษัท]+ความปลอดภัย" อย่างรวดเร็ว หรือคุณอาจลองใช้ "[ชื่อผลิตภัณฑ์/ชื่อบริษัท]+แฮ็ก/การละเมิดข้อมูล" ชุดค่าผสมเหล่านี้จะแสดงให้เห็นอย่างรวดเร็วถึงความเป็นอยู่ที่ดีด้านความปลอดภัยของผลิตภัณฑ์ที่คุณกำลังจะมอบให้บุตรหลานของคุณ
การละเมิดความปลอดภัยกำลังจะเกิดขึ้น เราอาศัยอยู่ในโลกที่แปลงเป็นดิจิทัลอย่างหนาแน่น การแบ่งปันข้อมูลที่ละเอียดอ่อนผ่านไซต์จำนวนมาก อย่างไรก็ตาม เราไม่จำเป็นต้องโยนตัวเองเข้าไปในกองไฟ และเช่นเดียวกัน เรามีสิทธิ์คาดหวังความเคารพในความเป็นส่วนตัวของข้อมูลส่วนบุคคลของเราเพียงเล็กน้อย นับประสาลูกหลานของเรา
ได้รับผลกระทบจากการละเมิด VTech หรือไม่? หรือคุณสามารถเห็นอกเห็นใจผู้ผลิตของเล่นในโลกของระบบเครือข่ายและความปลอดภัยของข้อมูลได้หรือไม่? แจ้งให้เราทราบด้านล่าง!
