VTech-Hack betrifft mehr als 500.000 Kinder in Deutschland

VTech hat weitere Details zu dem Hackerangriff veröffentlicht, bei dem im November rund 5 Millionen Kundenkonten kompromittiert wurden. Einer aktualisierten FAQ zufolge gehören zu den geknackten Learning-Lodge-Konten fast 6,4 Millionen Profile von Kindern, auf die der Hacker ebenfalls Zugriff hatte. Hierzulande sind 508.806 Kinder betroffen.

„Insgesamt sind weltweit 4.854.209 Kundenkonten von Eltern und 6.368.509 zugehörige Kinderprofile betroffen. Darin sind etwa 1,2 Millionen Kid-Connect-Konten von Eltern enthalten“, teilt der chinesische Hersteller von Lerncomputern nun mit. „Darüber hinaus gibt es 235.708 Konten von Eltern und 227.705 Kinderkonten in PlanetVTech. Im Gegensatz zu Elternkonten enthalten Kinderkonten nur Namen, Geschlecht und Geburtsdaten.“

Damit erhöht sich die Zahl der insgesamt betroffenen Personen auf bis zu 11,68 Millionen. Den neuen Zahlen zufolge enthielt die gestohlene Datenbank vor allem Informationen über US-Nutzer. Sie stellen mit 2,2 Millionen Eltern und 2,9 Millionen Kindern die größte Gruppe. Der Hacker erbeutete zudem mehr als 2 Millionen Datensätze von französischen Eltern und Kindern. In Großbritannien sind fast 1,3 Millionen Nutzer betroffen, hierzulande sind es fast 900.000.

Unklar ist, wo sich die gehackten VTech-Server befinden, auf denen das Unternehmen Daten für Kunden in EU-Ländern wie Belgien, Dänemark, Deutschland, Frankreich, Großbritannien, Irland und den Niederlanden vorhält. Im EU-Raum sind 2,187 Millionen Elternkonten und 2,871 Millionen Kinderprofile betroffen, was auch eine Untersuchung der Europäischen Kommission nach sich ziehen könnte.

Die Behauptung des Hackers, er habe auch Fotos von Eltern und Kindern, Chat-Logs sowie Audio-Dateien erbeutet, hat VTech indes nicht bestätigt. Die Untersuchung dauere noch an, so das Unternehmen weiter. Bilder und auch Audiodateien seien auf seinen Servern nach dem Advanced Encryption Standard (AES) mit einer Schlüssellänge von 128 Bit verschlüsselt worden. Chat-Logs speichere man indes unverschlüsselt, aber nur dann, wenn Nachrichten vorübergehend nicht zugestellt werden könnten. Sie würden außerdem nach Ablauf von 30 Tagen automatisch gelöscht.

Der Hacker selbst erklärte wiederholt gegenüber Motherboard, er werde die erbeuteten Daten weder veröffentlichen noch verkaufen. „Offen gesagt, es kotzt mich an, dass ich an all diese Dinge herankommen konnte“, zitiert Motherboard den Hacker. „VTech sollte zur Rechenschaft gezogen werden.“

[mit Material von Larry Dignan, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.