VTech Download Manager gehackt, Kundendaten entwendet
Für VTech, den Hersteller, den Ihr vielleicht von Kinderspielzeug kennt, hätte der Start ins Wochenende sicher besser verlaufen können. Bei dem Unternehmen wurde digital eingebrochen und es wurden auch Kundendaten entwendet. Wie VTech in einer offiziellen Stellungnahme mitteilt, handelt es sich hier um Name, E-Mail-Adreese, das verschlüsselte Passwort, Sicherheitsfragen und deren Antworten, IP-Adressen und die Postadresse der Nutzer, welche von den Angreifern gestohlen werden konnten. Der Diebstahl ereignete sich bereits am 14. November, VTech gab den Vorfall aber erst jetzt bekannt.
Zahlungsinformationen wurden indes nicht entwendet, der Angriff erfolgte auf den Download Manager App Store / die Learning Lodge, Zahlungen werden anderweitig abgewickelt. Laut Info-Mail von VTech scheinen die Nutzer keine Maßnahmen treffen zu müssen, zumindest wird dies mit keiner Silbe erwähnt. Ich kann Euch nur raten, dass Ihr zumindest Eure Passwörter ändert, falls Ihr dort einen Account habt. Solltet Ihr das Passwort zudem noch woanders verwenden (was Ihr nie machen solltet), natürlich auch dort ändern.
VTech will indessen ausreichende Maßnahmen getroffen haben, um die Download Manager-Datenbank abzusichern:
[color-box color=“gray“ rounded=“1″]Nach Entdeckung des unberechtigten Zugangs haben wir umgehend sorgfältige Untersuchungen durchgeführt, die eine umfangreiche Prüfung der betroffenen Seite und Modifikationen der Sicherheitseinstellungen gegen weitere Angriffe umfassen. Aktuell setzen wir weitere Maßnahmen zur Sicherung der Download Manager Datenbank um.[/color-box]
Weitere Informationen zu dem Vorfall möchte VTech im Pressebereich der Webseite zur Verfügung stellen, bisher ist dort nur das Statement zum Hack zu finden. Warum man bei Entwendung doch recht umfangreicher Nutzerdaten den Kunden allerdings erst zwei Wochen nach dem Vorfall informiert, erklärt VTech nicht. (Danke Dennis!)
Wird geladen ...
„Laut Info-Mail von VTech scheinen die Nutzer keine Maßnahmen treffen zu müssen(…)“
Welche auch, sind ja schon alles sensiblen Daten seit zwei Wochen im Umlauf 😉
Admins dieser Welt, SPRECHT MIR NACH: „MD5 ist kein sicherer Algorithmus zum Hashen von Passwörtern!“.
http://security.stackexchange.com/a/19908
Die betroffenen Nutzer sollten auf jeden Fall etwas unternehmen.
Falls es sich bei den Sicherheitsfragen um die üblichen Standardfragen handeln sollte (Mädchenname der Mutter, Name des ersten Haustieres, Geburtsstadt…) und man dieser wahrheitsgemäß beantwortet hat, so sollte man tunlichst alle anderen Dienste abklappern und andere Sicherheitsfragen wählen oder andere Antworten geben, sonst kann es passieren, dass noch weitere Dienste gekapert werden.
Die Passwörter waren übrigens nicht verschlüsselt, sondern lediglich md5 gehasht.
Mehr Informationen zum Hack & Leak:
http://www.troyhunt.com/2015/11/when-children-are-breached-inside.html
super sache meine kinder haben gerade digigo und kidigo bekommen für weinachten und mann kann die nicht mal benutzen weil mann denn download manager benutzen kann
Wie deren Kommunikationsabteilung mit der Sache umgeht, das ist eigentlich eine nicht weniger schwere Katastrophe.
Anfragen per E-Mail oder den sozialen Medien werden komplett ignoriert, die Kanäle, trotz täglicher Fragen diverser Nutzer, nur für Werbezwecke genutzt und überhaupt kein Dialog gesucht. Selbst mieseste Bewertungen bleiben seitens VTECH unkommentiert.
Telefonisch gibt es widersprüchliche Aussagen, wenn man an den falschen Bearbeiter gerät, wird auch schon genervt aufgelegt.
VTECH macht hier eigentlich alles falsch, was man falsch machen kann. Anstatt Transparenz in die Sache zu bringen, streckt man seinen Kunden den blanken Ar*** entgegen und behandelt sie wie Luft.
Aber hier geht es ja nur um Kinderspielzeug. Man stelle sich vor, ein iPhone, Galaxy oder sonstiges Luxus-Spielzeug für Techis wäre so unbrauchbar wie aktuell eine Vielzahl der VTECH Produkte. Es würde wohl nicht so ruhig bleiben.