Kinderspeelgoedfabrikant VTech gehackt, gegevens miljoenen kinderen op straat
Tijdens één van de grootste hacks in de geschiedenis zijn de persoonlijke foto's, chatgesprekken en persoonsgegevens van kinderen buitgemaakt. Kinderspeelgoedmaker VTech blijkt slachtoffer van een omvangrijke datadiefstal die kinderlijk eenvoudig uit te voeren was.
1. Wat is VTech?
VTech is een Chinees bedrijf, dat elektronische spullen voor kinderen maakt met vaak een educatief karakter. Zo maakt het bedrijf speelgoedtelefoons en -computers, waar kinderen mee kunnen leren rekenen of geheugenspelletjes kunnen spelen.
Al die educatieve programma's komen samen in één online portal, de VTech Learning Lodge. Gebruikers moeten een account maken waar al hun gegevens worden opgeslagen. In sommige gevallen gaat het alleen om een emailadres en wachtwoord, maar voor complexer speelgoed worden ook veel gevoeligere informatie bewaard. Denk bijvoorbeeld aan chat-gesprekken wanneer kinderen met een robot 'praten', of foto's die kinderen maken om als profielafbeelding op te slaan.
2. De hack zelf
Het bleek kinderlijk eenvoudig de gegevens te stelen
Een hacker heeft de gegevens van ruim 11 miljoen gebruikers weten te bemachtigen. Daarvan zijn 6,4 miljoen profielen van kinderen.
Tijdens de hack werd een goudmijn aan erg persoonlijke informatie buitgemaakt. De hacker verzamelde in totaal ruim 190 GB aan data, die uiteenliep van wachtwoorden en emailadressen tot chat-gesprekken en foto's van kinderen en ouders.
Daar zitten ook Nederlanders tussen. Volgens VTech zelf gaat het om 124.730 gegevens van kinderen, en nog eens 100.828 van volwassenen.
Daarmee is de hack op VTech de op drie na grootste consumentenhack aller tijden. Alleen bij de hack op Adobeen vreemdgangerssite Ashley Madison en 000webhost werden meer gegevens achterhaald.
3. Hoe kon zo veel data gehackt worden?
De hack werd verrassend simpel uitgevoerd. De hacker bemachtigde de gegevens met een simpele SQL-injectie, een oude en vooral ook ouderwetse manier om data te stelen. Hiermee plaatst een aanvaller een stukje SQL-code in een invulveld op een website. Met die code was het mogelijk om root access te krijgen over de sites.
De beveiliging van VTech was zwaar ondermaats
Een SQL-injectie is een hack-methode die al jaren oud is en daarom bij het overgrote merendeel van websites niet mogelijk is. Dat VTech zich op die manier liet hacken geeft wel aan dat de beveiliging niet erg sterk was.
Daarnaast bleek er meer niet helemaal op orde te zijn. De wachtwoorden werden met MD5 gehasht, terwijl MD5 helemaal niet veilig is. Ernstiger nog is dat geheime vragen en antwoorden allemaal in plaintext werden opgeslagen. Geheime vragen geven veel persoonlijke informatie prijs over een gebruiker.
4. Hoe kwam het aan het licht?
De hack kwam 27 november aan het licht via de website Motherboard. De hacker maakte zich daar bekend en leverde bewijs aan bij de site.
Toen Motherboard VTech om een reactie vroeg, zei het bedrijf dat het de eerste keer was dat het over de hack hoorde.
Diezelfde dag plaatste VTech een verklaring op zijn site, maar daarin werd verder niet veel informatie gegeven. Het bedrijf wilde niet zeggen hoeveel gegevens er waren gestolen en welke dat waren, of hoe die beveiligd waren.
5. Wat willen de hackers?
De hacker zegt geen geld of erkenning te willen
Die zeggen niets te willen. Ze hoeven geen geld of erkenning en zeggen de gegevens niet door te verkopen op digitale marktplaatsen. De hacker zegt dat hij alleen wil aantonen hoe makkelijk het was de gegevens te stelen, en om anderen erop te wijzen dat zulke beveiliging wel erg belangrijk is.
Daar moeten we hem echter maar wel op vertrouwen. Tot nu toe lijkt het er niet op dat er al gegevens ergens anders zijn opgedoken, maar als dat gebeurt zou het waarschijnlijk toch nog een tijdje niet bekend zijn.
5. En nu?
VTech heeft zijn 'Learning Lodge' inmiddels offline gehaald, al is de put daarmee wel wat te laat gedempt.
Ook is het niet bekend hoeveel gegevens er vóór de hack bekend zijn uitgelekt. VTech gaf pas na afloop aan dat het niet wist over de slechte beveiliging, dus het is mogelijk dat er al eerder gegevens zijn uitgelekt.
Verander je wachtwoord!
Ondertussen is het slimste (en eigenlijk het enige) dat je nu kunt doen je wachtwoord veranderen. Je kunt dat het beste doen voor alle diensten waar je hetzelfde wachtwoord gebruikt als voor VTech-diensten - en ja, da's een rotklusje.
Je kunt ook kijken op de website HaveIBeenPwnd.com. Die site houdt grote data-inbreuken bij zodat je kunt controleren of jouw emailadres of gebruikersnaam ergens terugkomt.