Lerncomputer-Hersteller VTech bestätigt Hackerangriff

Der chinesische Hersteller von Lerncomputern VTech hat einen Hackerangriff eingeräumt. Gegenüber Motherboard bestätigte das Unternehmen, dass Unbekannte Zugriff auf die Datenbank seines App Stores „Learning Lodge“ hatten. Der Angriff selbst fand demnach am 14. November statt. Zur Zahl der Betroffenen machte VTech jedoch keine Angaben.

Motherboard will indes von einem Hacker, der die Verantwortung für den Einbruch übernommen hat, erfahren haben, dass die Datenbank Informationen über „4.833.768 Eltern“ enthielt, die Produkte von VTech gekauft haben. Zudem seien ihm Daten wie Vornamen, Geschlecht und Geburtstage von mehr als 200.000 Kindern in die Hände gefallen. Er habe nicht vor, die Daten öffentlich zu machen.

Dem Bericht zufolge nutzte der Hacker eine als SQL-Injection bekannte Technik, um die Datenbank zu kompromittieren. Danach habe er die vollständige Kontrolle über VTechs Web- und Datenbankserver gehabt. Auch wenn er selber nicht plane, die Daten zu veröffentlichen, sei nicht ausgeschlossen, dass andere vor ihm bereits in das System eingebrochen seien.

Die rund 4,8 Millionen Datensätze umfassen laut einer Analyse des Sicherheitsexperten Troy Hunt, Betreiber der Website „Have I Been Pwned“, E-Mail-Adressen mit den zugehörigen per MD5 gehashten Passwörtern sowie die Sicherheitsfragen mit Antworten – letztere jedoch unverschlüsselt. „Das ist sehr nachlässig“, sagte Hunt dem Bericht zufolge. „Bei der Speicherung der Passwörter haben sie einen schlechten Job gemacht“, ergänzte er in Bezug auf die verwendete MD5-Verschlüsselung, die als leicht zu knacken angesehen wird.

ANZEIGE

Die Bedeutung von Windows 10 für das moderne Unternehmen

Mit Windows 10 beginnt eine ganz neue Ära des Enterprise Computing. In Windows 10 werden bisher getrennte Betriebssystemversionen für die traditionellen Windows-PCs, Tablets und Smartphones auf einer Plattform zusammengeführt und von einem EMM-Anbieter verwaltet.

Motherboard und Hunt haben nach eigenen Angaben zusammen die Betroffenen per E-Mail über den Verlust ihrer Daten informiert. „Warum müssen die meine Adresse wissen, warum müssen die alle diese Informationen haben, damit ich ein paar kostenlose Bücher für mein Kind auf dieses alberne Tablet laden kann? Warum hatten sie alle diese Informationen“, zitiert Motherboard aus der Antwort eines britischen Opfers.

Hunt weist in seinem Blog zudem darauf hin, dass VTech keine SSL-Verschlüsselung benutzt und Daten wie Passwörter im Klartext überträgt. Auch die Datenbanken und APIs des Unternehmens seien nicht sicher. „Das Fazit ist, es braucht nicht einmal einen Einbruch. Sicherheit muss man vor einem Datenverlust ernst nehmen, und nicht danach, um die Leute zu beschwichtigen.“

[mit Material von Larry Dignan, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Frauen in der IT – vielerorts weiter Fehlanzeige

Laut Bitkom-Umfrage meinen noch immer 39 Prozent der Betriebe, Männer seien für Digitalberufe besser geeignet.

2 Stunden ago

Balkonkraftwerk mit Speicher: Lohnt sich die Investition wirklich?

Ein Balkonkraftwerk mit Speicher ermöglicht es, den Eigenverbrauchsanteil deutlich zu erhöhen und Solarstrom auch dann…

1 Tag ago

Kritische Sicherheitslücke in Microsoft Windows entdeckt

ESET-Experten warnen vor Zero-Day-Exploit, der die Ausführung von schadhaftem Code erlaubt.

3 Tagen ago

Malware-Ranking: Trojaner AsyncRat in Deutschland auf dem Vormarsch

Die höchste Verbreitung erzielt die auf Datendiebstahl ausgerichtete Malware Androxgh0st. Bei den Ransomware-Gruppen liebt Clop…

3 Tagen ago

Forscher entwickeln vernetzte Immersive-Lösungen

Fraunhofer arbeitet an einer Plattform, die 360°-Live-Streams an mehrere Spielstätten überträgt und den Besuchern Interaktionsmöglichkeiten…

3 Tagen ago

Dritte Beta von Android 16 veröffentlicht

Die kommende Version von Googles Mobilbetriebssystem erreicht Plattform-Stabilität. Damit ist die Entwicklung der APIs von…

3 Tagen ago