Kindercomputer-Anbieter VTech verliert Nutzerdaten an Hacker

SicherheitSicherheitsmanagement
Lerntablet von VTech (Screenshot: ITespresso)

Offenbar gehen dem Unternehmen Daten von etwa 4,8 Millionen Anwendern seines App Store verloren. Ebenso erbeuten die Angreifer Vornamen und Geburtsdaten von über 200.000 Kindern. Der verantwortliche Hacker plant allerdings nicht, die Daten offenzulegen.

Das Unternehmen VTech hat eingeräumt, dass es erfolgreich von Hackern angegriffen wurde. Der chinesische Anbieter von Lerncomputern bestätigte gegenüber Motherboard, dass sich Unbekannte Zugang zur Datenbank seines App Stores “Learning Lodge” verschafft haben. Der Angriff erfolgte bereits am 14. November. Zur Zahl der Betroffenen äußerte sich VTech allerdings nicht.

Lerntablet von Vtech (Screenshot: ITespresso)

Motherboard beruft sich auf einen Hacker, der der Website gegenüber die Verantwortung für den Einbruch übernommen und eigenen Angaben zufolge Informationen über “4.833.768 Eltern”. die Produkte von VTech erworben haben, aus der Datenbank gestohlen hat. Er habe zudem Zugriff auf Vornamen, Geschlecht und Geburtstage von mehr als 200.000 Kindern gehbat, plane jedoch nicht, die Daten offenzulegen.

Laut dem Bericht verwendete der Hacker SQL-Injection, um in die Datenbank einzudringen. Danach konnte er die komplette Kontrolle über VTechs Web- und Datenbankserver übernehmen. Auch wenn er die Daten nicht veröffentlichen wolle, sei doch nicht ausgeschlossen, dass andere schon vor ihm in das System eingebrochen seien.

Einer Analyse des Sicherheitsexperten Troy Hunt zufolge, der die Website “Have I Been Pwned” betreibt, umfassen die etwa 4,8 Millionen Datensätze E-Mail-Adressen mit den zugehörigen MD5-Hash-Passwörtern sowie die Sicherheitsfragen mit Antworten. Letztere werden sogar im Klartext angezeigt. “Das ist sehr nachlässig”, empört sich Hunt dem Bericht zufolge. Auch die verwendete MD5-Verschlüsselung sei nicht mehr zeitgemäß, da sie als leicht zu knacken gilt.

Nach eigenen Angaben haben Motherboard und Hunt gemeinsam die Betroffenen per E-Mail über den Verlust ihrer Daten informiert. Hunt verweist darauf, dass VTech keine SSL-Verschlüsselung einsetzt und Daten wie Passwörter im Klartext übermittelt. Auch die Datenbanken und APIs des Unternehmens seien nicht sicher. “Das Fazit ist, es braucht nicht einmal einen Einbruch. Sicherheit muss man vor einem Datenverlust ernst nehmen, und nicht danach, um die Leute zu beschwichtigen.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen