Categories: CyberkriminalitätSicherheit

Lerncomputer-Hersteller VTech bestätigt Hackerangriff

Der chinesische Hersteller von Lerncomputern VTech hat einen Hackerangriff eingeräumt. Gegenüber Motherboard bestätigte das Unternehmen, dass Unbekannte Zugriff auf die Datenbank seines App Stores „Learning Lodge“ hatten. Der Angriff selbst fand demnach am 14. November statt. Zur Zahl der Betroffenen machte VTech jedoch keine Angaben.

Motherboard will indes von einem Hacker, der die Verantwortung für den Einbruch übernommen hat, erfahren haben, dass die Datenbank Informationen über „4.833.768 Eltern“ enthielt, die Produkte von VTech gekauft haben. Zudem seien ihm Daten wie Vornamen, Geschlecht und Geburtstage von mehr als 200.000 Kindern in die Hände gefallen. Er habe nicht vor, die Daten öffentlich zu machen.

Dem Bericht zufolge nutzte der Hacker eine als SQL-Injection bekannte Technik, um die Datenbank zu kompromittieren. Danach habe er die vollständige Kontrolle über VTechs Web- und Datenbankserver gehabt. Auch wenn er selber nicht plane, die Daten zu veröffentlichen, sei nicht ausgeschlossen, dass andere vor ihm bereits in das System eingebrochen seien.

Die rund 4,8 Millionen Datensätze umfassen laut einer Analyse des Sicherheitsexperten Troy Hunt, Betreiber der Website „Have I Been Pwned“, E-Mail-Adressen mit den zugehörigen per MD5 gehashten Passwörtern sowie die Sicherheitsfragen mit Antworten – letztere jedoch unverschlüsselt. „Das ist sehr nachlässig“, sagte Hunt dem Bericht zufolge. „Bei der Speicherung der Passwörter haben sie einen schlechten Job gemacht“, ergänzte er in Bezug auf die verwendete MD5-Verschlüsselung, die als leicht zu knacken angesehen wird.

Die Bedeutung von Windows 10 für das moderne Unternehmen

Mit Windows 10 beginnt eine ganz neue Ära des Enterprise Computing. In Windows 10 werden bisher getrennte Betriebssystemversionen für die traditionellen Windows-PCs, Tablets und Smartphones auf einer Plattform zusammengeführt und von einem EMM-Anbieter verwaltet.

... zum Artikel

Motherboard und Hunt haben nach eigenen Angaben zusammen die Betroffenen per E-Mail über den Verlust ihrer Daten informiert. „Warum müssen die meine Adresse wissen, warum müssen die alle diese Informationen haben, damit ich ein paar kostenlose Bücher für mein Kind auf dieses alberne Tablet laden kann? Warum hatten sie alle diese Informationen“, zitiert Motherboard aus der Antwort eines britischen Opfers.

Hunt weist in seinem Blog zudem darauf hin, dass VTech keine SSL-Verschlüsselung benutzt und Daten wie Passwörter im Klartext überträgt. Auch die Datenbanken und APIs des Unternehmens seien nicht sicher. „Das Fazit ist, es braucht nicht einmal einen Einbruch. Sicherheit muss man vor einem Datenverlust ernst nehmen, und nicht danach, um die Leute zu beschwichtigen.“

[mit Material von Larry Dignan, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.