10
| 本文作者:温晓桦 | 2015-12-01 17:51 |
在互联网时代,我们早已习惯那些针对金融和零售机构的大规模黑客攻击,但最近香港儿童电子产品制造商Vtech(伟易达)遭遇的一起“数字洗劫”揭示了一个让人震惊的现实——互联网中,任何人都极容易受到攻击,即使是儿童。
本周一即今日,伟易达在官方网站发布了公开信,承认11月14日该公司遭受了黑客攻击,500万消费者账号以及账号关联的儿童用户数据受到影响。据媒体最初的报道,本次黑客攻击的目标是伟易达公司应用商店“学习小屋”的数据库。
据媒体周五披露,在11月中旬黑客便已攻进了伟易达的服务器,并盗走500万名父母和超过20万儿童的数据,其中包括姓名、电子邮件地址、密码、家庭住址、IP地址、性别、生日和下载历史等等。
上周末,这名黑客告诉媒体,伟易达将这些儿童的照片和聊天记录等数据暴露在服务器上。这些数据来自伟易达公司的应用程序Kid Connect,改程序是父母与孩子通过VTech平板进行交流的即时通讯工具。在该公司的在线教程中,父母和孩子被鼓励贴上自己的大头照。据黑客披露,这些文件总共190GB。
伟易达公司此前并未回应为何会将用户数据放在这么危险的地方。如安全研究人员 Mark Nunnikhoven所言,企业选择数据储存空间时应当小心谨慎,更应该先对数据被盗风险进行评估。如果该公司有这么做,也不至于将用户数据储存在最危险的地方。伟易达公司回应说,黑客未能得到用户的信用卡、社保号码等更隐私的数据。
在加密聊天中,黑客称:“坦白地说,轻易地就接触到所有这些数据,我感到很不舒服。”探测那个脆弱的服务器时,他发现成千上万父母和儿童的照片,有些是空白的,有些是重复的,所以很难确定哪些才是合法的照片。不过,黑客还表示,他并不打算公开或销售数据。
当被询问入侵的目的时,黑客表示“没有”,并交代他们是通过SQL植入式攻击来获得资料的。
任何一个从“学习小屋”下载过应用、游戏、电子书或其他软件的,或者是使用过Kid Connect服务的用户,此时此刻都应该考虑自身的信息安全问题。这是一个庞大的用户群体,因为伟易达的产品还是很受欢迎的,除了通过InnoTab品牌平板电脑建立起一个教育游戏系统,该公司还研发了智能手表。
鉴于黑客获得的190GB数据中,500万父母和20万儿童的姓名、姓名、生日数据均在其中,因此将每个家庭匹配起来的可能性就更大。一旦数据有了某些确定性,危害将进一步扩大,比如快速发现某位儿童的家庭住址。
根据网站Have I been pwned的数据,伟易达资料失窃属于第四大严重的黑客事件,仅次于偷情网站Ashley Madison事件和免费网页寄存服务000webhost。
目前唯一值得安慰的是,黑客表示不会进行恶意的数据交易;黑客将他所获得的数据发送给了媒体Motherboard,只是想引起公众的注意,伟易达的数据库是何等的脆弱。伟易达回应称,这不是固有存在的问题,但会寻求额外的措施加以巩固。
而令人略感失望的是,黑客并不会主动露面,这就意味着这件事无法彻查。“美国东部时间11月23日,我们收到一封来自加拿大一名记者询问此事的邮件,”伟易达公司表示,“收到该邮件后,我们进行了一次内部排查,发现在香港时间11月14日,‘学习小屋’的网站遭到非法访问活动。”除此之外,伟易达并不了解其他实情了。
黑客事件着实令人不安。如果这次真的只是如黑客所表示的当做一个提醒——我们越多地将孩子带入互联网,就意味着越多地将其暴露在充满可疑网络安全事件的成长环境当中——如今,云端连接、儿童专用的电子产品早已充斥在商店的周围,问题似乎还有值得庆幸的余地。然而,这件事明显也成为公共安全的耻辱,给我们带来安全焦虑。下一次有可能比这一次更加严重。
事实上,如果像伟易达这样的企业继续缺乏任何数据安全的保护意识,也许“下一次”很可能已经发生了。几年来,已有多家大公司遭遇黑客入侵,大量的数据遭到泄露,比如索尼。
via Wired
相关阅读:
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
