Abo
  • IT-Karriere:

Vtech: Hacker erbeutet 10.000 Kinderfotos

Kinder und Eltern schlecht geschützt: Der Hacker des Spielzeugherstellers Vtech hat offenbar nicht nur Zugriff auf Zugangsdaten und Adressen, sondern auch auf Porträtfotos, Chatprotokolle und Audiodateien gehabt. "Das macht mich krank", sagt er.

Artikel veröffentlicht am ,
Die jetzt kopierten Daten sollen aus dem Kid-Connect-Dienst von Vtech stammen.
Die jetzt kopierten Daten sollen aus dem Kid-Connect-Dienst von Vtech stammen. (Bild: Vtech)

Der Hack des Spielzeugherstellers Vtech ist offensichtlich weitreichender als ursprünglich befürchtet, wie Motherboard berichtet. Am Wochenende war bekanntgeworden, dass der Hersteller von elektronischem Kinderspielzeug aus Hongkong gehackt wurde - und Datensätze von mehr als 6 Millionen Kindern und fast 5 Millionen Eltern kompromittiert wurden.

Stellenmarkt
  1. Sagemcom Fröschl GmbH, Walderbach (zwischen Cham und Regensburg)
  2. Flughafen Düsseldorf GmbH, Düsseldorf

Der anonyme Hacker hat nun erneut mit Motherboard gesprochen und behauptet, mehr als 190 GByte an Daten von den Servern heruntergeladen zu haben. Darunter seien auch Porträtfotos von Kindern und Eltern - vermutlich mehr als 10.000 Stück -, außerdem Chatprotokolle und auch Audioaufzeichnungen von Gesprächen zwischen Kindern und Eltern.

Motherboard schreibt, der Hacker habe keine Pläne, die Informationen zu verkaufen oder zu veröffentlichten. "Es macht mich krank, dass ich in der Lage war, alle diese Informationen herunterzuladen", sagte er zu Motherboard. Nach Angaben von Motherboard hat er 3.832 Kinderbilder mit Motherboard geteilt, um den Hack zu verifizieren. Motherboard hat einige der geschwärzten Bilder veröffentlicht.

Daten stammen aus Kid Connect

Die Daten stammen vermutlich aus dem Vtech-Produkt Kid Connect. Mit dem Dienst können Eltern über eine Smartphone-App mit Kindern kommunizieren, die ein Vtech-Tablet benutzen. Vtech ermutigt Kinder und Eltern in einem Tutorial zu den Produkten dazu, Porträtfotos aufzunehmen und in der App zu speichern.

Die Sicherheitsvorkehrungen von Vtech sind offensichtlich mangelhaft gewesen. Die auf dem Server gespeicherten Passwörter wurden nur mit MD5 gehasht - und nicht mit deutlich sichereren Verfahren wie bcrypt. Der Hack lief nach Angaben von Motherboard über eine SQL-Injektion auf der Seite. Auch die anderen jetzt kopierten Daten waren offensichtlich nicht verschlüsselt. Außerdem soll sich bei den meisten heruntergeladenen Bildern eine direkte Zuordnung zu den Accountdaten vornehmen lassen. Böswillige Angreifer könnten also nicht nur die Postadresse von Kunden herausbekommen, sondern auch Bilder und andere persönliche Informationen damit verknüpfen.

Als Reaktion auf die Hacks hat Vtech nach eigenen Angaben einige Server und Dienste vom Netz genommen. Es seien keine Kreditkarteninformationen abhandengekommen, heißt es weiter. Zu den neuen Veröffentlichungen hat sich Vtech bislang nicht geäußert.

Das Unternehmen hat nach eigenen Angaben erst durch eine Mail des Motherboard-Journalisten Lorenzo Francheschi-Bicchierai von dem Hack erfahren. Alle Nutzer der von dem Hack betroffenen Accounts seien per E-Mail informiert worden. Deutsche Kunden des Unternehmens können ihre Fragen an die Adresse downloadmanager@vtech.de richten.

Nachtrag vom 2. Dezember 2015, 10:10 Uhr

Vtech hat neue Zahlen zu dem Hack bekanntgegeben. Demnach sind nicht, wie ursprünglich berichtet, 200.000 Accounts von Kindern betroffen, sondern 4.854.209 Eltern-Accounts und 6.368.509 Datensätze von Kindern. In Deutschland sollen rund 500.000 Profile von Kindern betroffen sein.

Zu den Berichten, dass Fotos von Kindern heruntergeladen wurden, wollte das Unternehmen bislang keine Stellung beziehen, teilt aber mit, dass die Daten mit AES 128 verschlüsselt gewesen seien - offenbar wirkungslos. Warum es notwendig gewesen sein soll, die Daten überhaupt auf dem Server des Unternehmens vorzuhalten, sagt Vtech nicht. Leser, die auch Kunden von Vtech sind, berichten uns, dass sie nie darüber in Kenntnis gesetzt wurden, dass diese Informationen zentral gespeichert werden.



Anzeige
Top-Angebote
  1. 88,00€
  2. (u. a. 5-Port-Gigabit-Switch für 15,99€, 8-Port-LAN-Switch für 27,12€, 16-Port Pro Safe...
  3. (u. a. Akku Schlagbohrschrauber für 182,99€, Akku Bohrhammer für 114,99€, Linienlaser für...
  4. GRATIS im Ubisoft-Sale

salah 04. Dez 2015

also, ich bin der Meinung, dass man Maß halten soll. Ich kenne selbst so viele Eltern...

pummel 02. Dez 2015

<> Also mein Großvater auf einer Napola, mit sportlicher Ausrichtung. Wir sind die Kinder...

Enter the Nexus 02. Dez 2015

Ging mir ebenfalls so :)

JonasDralle 01. Dez 2015

Man kann nie auf die Sicherheit von Services vertrauen. Egal wem ich meine Daten gebe...

plutoniumsulfat 01. Dez 2015

Wieso so viele Eltern? Das will mir gerade nicht in den Sinn kommen.


Folgen Sie uns
       


Asus Zenfone 6 - Test

Das Zenfone 6 fällt durch seine Klappkamera auf, hat aber auch abseits dieses Gimmicks eine Menge zu bieten, wie unser Test zeigt.

Asus Zenfone 6 - Test Video aufrufen
Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Mercedes EQV Daimler zeigt elektrische Großraumlimousine
  2. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  3. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. IT-Arbeitsmarkt Jobgarantie gibt es nie
  2. IT-Fachkräftemangel Freie sind gefragt
  3. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

    •  /