全球最大婴幼儿电子学习产品制造商Vtech(伟易达)被曝480万家长及儿童信息泄露

2015-11-30 178147人围观 ,发现 4 个不明物体 系统安全资讯

Vtech伟易达,公司位于香港,作为全球最大的婴幼儿及学前电子学习产品企业,日前被曝发生用户数据泄露。从目前的分析来看,泄露数据涉及范围已经覆盖480万家长和超过20万儿童。

数据泄露情况

该公司目前已经承认该安全事故,但表示从泄露的数据看,并没有发生关于信用卡或者其他银行信息泄露,其中泄露的数据包括以下,

家长注册账户使用的姓名
家长注册账户使用的邮件
家长注册账户使用的密码
家长注册账户找回密码问题及答案
家长注册账户使用的密码提示
家长注册账户使用的登录信息
家长注册账户使用的URL
家长注册账户使用的IP信息
家长注册账户使用的住址
家长VTech账户信息
儿童注册账户使用的姓名
儿童注册账户使用的头像
儿童性别
儿童注册账户使用的密码
儿童注册URL
儿童 VTech 账户信息
儿童 —家长关系图

我们也可以通过相关的注册界面了解相应的注册信息,主要如下,

令人担心的是,我们可以知道目前泄露的数据包含了许多敏感数据信息。其中包含了家长和孩子的账户信息以及关系图,利用这些信息,任何一个人都可以知道儿童在使用什么设备以及较为经常使用的网页。

起因:落后的技术开发平台和缺失的安全防护技术

在Hunt看来,目前VTech仍然使用较为落后的技术开发平台,包括像ASP.NET 2.0框架, WCF, SOAP, 以及其中使用了众多的 Flash。而同时,这里面并没有在VTech的官网以及注册网站上发现使用像SSL等安全通信协议技术。经过对VTech其中一个端口的扫描探测分析,Hunt也发现了可通过SQL查询可获取相关调试信息的漏洞。

据Hunt分析指出,

“为什么他们会返回一个SQL语句呢,这绝对超乎我的想象。在看到内部的数据库将其中对象和查询结果随意返回给用户,我就在想,在此系统中,SQL注入漏洞攻击必定会大行其道。“

VTech泄露数据历史排名第四

VTech数据泄露事件被添加到 Have I Been Pwned(一个知名的泄露信息监测网站)上,然后它就成为了该网站历史上第四大数据泄露事件,仅排在Adobe (15200万账户信息), Ashley Madison (3000万账户信息), 以及000webhost.com (1350万 账户信息)之后。

*参考来源:softpediatroyhunt,FB小编troy编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

发表评论

已有 4 条评论

取消
Loading...
css.php