Der chinesische Hersteller von Lerncomputern VTech hat Berichte über einen Hackerangriff auf seine Server bestätigt. Unbekannte hätten am 14. November Zugriff auf die Datenbank seines App Stores “Learning Lodge” gehabt. Angaben darüber, auf welche Daten die Angreifer zugreifen konnten, hat das Unternehmen nicht gemacht.
Dem Bericht zufolge nutzte der Hacker eine als SQL-Injection bekannte Technik, um die Datenbank zu kompromittieren. Danach habe er die vollständige Kontrolle über VTechs Web- und Datenbankserver gehabt. Auch wenn er selber nicht plane, die Daten zu veröffentlichen, sei nicht ausgeschlossen, dass andere vor ihm bereits in das System eingebrochen seien.
Die rund 4,8 Millionen Datensätze umfassen laut einer Analyse des Sicherheitsexperten Troy Hunt, Betreiber der Website “Have I Been Pwned”, E-Mail-Adressen mit den zugehörigen per MD5 gehashten Passwörtern sowie die Sicherheitsfragen mit Antworten – letztere jedoch unverschlüsselt. “Das ist sehr nachlässig”, sagte Hunt dem Bericht zufolge. “Bei der Speicherung der Passwörter haben sie einen schlechten Job gemacht”, ergänzte er in Bezug auf die verwendete MD5-Verschlüsselung, die als leicht zu knacken angesehen wird.
Motherboard und Hunt haben nach eigenen Angaben zusammen die Betroffenen per E-Mail über den Verlust ihrer Daten informiert. “Warum müssen die meine Adresse wissen, warum müssen die alle diese Informationen haben, damit ich ein paar kostenlose Bücher für mein Kind auf dieses alberne Tablet laden kann? Warum hatten sie alle diese Informationen”, zitiert Motherboard aus der Antwort eines britischen Opfers.
Hunt weist in seinem Blog zudem darauf hin, dass VTech keine SSL-Verschlüsselung benutzt und Daten wie Passwörter im Klartext überträgt. Auch die Datenbanken und APIs des Unternehmens seien nicht sicher. “Das Fazit ist, es braucht nicht einmal einen Einbruch. Sicherheit muss man vor einem Datenverlust ernst nehmen, und nicht danach, um die Leute zu beschwichtigen.”
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…