Computer >> कंप्यूटर >  >> नेटवर्किंग >> नेटवर्क सुरक्षा

VTech:अपने बच्चों के डेटा के साथ खेलना

बच्चों के इलेक्ट्रॉनिक लर्निंग उत्पाद आपूर्तिकर्ताओं, वीटेक के लिए यह एक कठिन समय रहा है। हांगकांग स्थित कंपनी ने प्रत्यक्ष-बाजार प्रतियोगी LeapFrog . के लिए अधिग्रहण योजनाओं की घोषणा की $72 मिलियन के लिए, अपने बाजार-शेयर का अत्यधिक विस्तार करते हुए और खुद को बच्चों के इलेक्ट्रॉनिक शिक्षण उत्पादों के अग्रणी डेवलपर्स और आपूर्तिकर्ताओं में से एक के रूप में स्थान दिया। दुर्भाग्य से, सप्ताह योजना के अनुसार जारी नहीं रहा।

वीटेक ने 2015 में एक बड़ी हैक के बाद अपने नियम और शर्तों को अपडेट किया, बिना किसी दूसरे विचार के माता-पिता और देखभाल करने वालों पर जिम्मेदारी की जिम्मेदारी को स्पष्ट रूप से स्थानांतरित कर दिया।

वे क्या बदल गए हैं? उन्होंने क्या सुरक्षित किया है? आपको क्या करना चाहिए?

VTech का क्या हुआ?

VTech को पिछले नवंबर में हैक कर लिया गया था, हमलावर ने 4 मिलियन से अधिक वयस्क खातों और 6 मिलियन से अधिक बाल खातों के डेटा के साथ छेड़छाड़ की। हैक ने नाम, ईमेल पते, पासवर्ड, गुप्त प्रश्न और उत्तर, आईपी पते, मेलिंग पते और डाउनलोड इतिहास सहित प्रत्येक समझौता किए गए खाते के व्यक्तिगत डेटा को उजागर किया। साथ ही, वीटेक के ऐप स्टोर डेटाबेस, लर्निंग लॉज से भी समझौता किया गया था।

VTech:अपने बच्चों के डेटा के साथ खेलना

यहां से, चैट लॉग, व्यक्तिगत ऑडियो फाइलों और तस्वीरों सहित डेटा से समझौता किया गया था, जिनमें से कई सीधे उपकरणों का उपयोग करने वाले बच्चों से संबंधित थे।

भेद्यताएं

वाइस मैगज़ीन के प्रौद्योगिकी-केंद्रित मदरबोर्ड के लिए लेखन, लोरेंजो बिचिएराई द्वारा शुरू में हैक का खुलासा किया गया था प्रकाशन। प्रारंभिक लेख प्रकाशित होने के बाद, हैक करने का दावा करने वाले व्यक्ति द्वारा बिचिएराई से संपर्क किया गया, जिन्होंने सत्यापन के लिए पत्रकार को संवेदनशील तस्वीरें प्रदान कीं।

बिचिएराई ने सूचना सुरक्षा विशेषज्ञ ट्रॉय हंट को यह पुष्टि करने के लिए प्रदान किए गए डेटा का विश्लेषण करने के लिए आमंत्रित किया कि क्या लीक वैध था, न कि एक धोखा। पुष्टि होने पर, हंट ने आगे डेटा को विच्छेदित किया और VTech को प्रभावित करने वाली कमजोरियों के विवरण प्रकाशित किए। जैसा कि हंट ने खोजा, कमजोरियां नृशंस थीं।

ऑब्जेक्ट संदर्भ त्रुटियों का मतलब था कि उपयोगकर्ता आसानी से यूआरएल के माध्यम से दूसरों के खातों तक पहुंच सकते हैं, संपूर्ण होस्ट सिस्टम एसक्यूएल इंजेक्शन के किसी भी रूप के प्रति बेहद संवेदनशील था, और वहां था:

<ब्लॉकक्वॉट>

"कहीं भी एसएसएल नहीं ... सभी संचार अनएन्क्रिप्टेड कनेक्शन पर होते हैं, जिसमें पासवर्ड, माता-पिता का विवरण और बच्चों के बारे में संवेदनशील जानकारी प्रसारित की जाती है।"

उन्होंने एक साधारण MD5 हैश के साथ "एन्क्रिप्टेड" पासवर्ड भी पाया, जिसमें कोई नमक नहीं है, या यहां तक ​​कि एक उन्नत हैशिंग एल्गोरिदम की दृष्टि भी नहीं है, जिसका अर्थ है कि थोड़ा उन्नत कंप्यूटिंग कौशल वाला कोई भी व्यक्ति कम समय में उन्हें क्रैक कर सकता है।

इसके अलावा, गुप्त प्रश्न और उत्तर सादे पाठ में संग्रहीत किए गए थे, बिना किसी अतिरिक्त सुरक्षा उपाय के। हंट ने सुरक्षा प्रश्नों की खराब गुणवत्ता पर भी ध्यान दिया, जैसे "आपका पसंदीदा रंग क्या है?" या "आप कहाँ पैदा हुए थे?" और अन्य समान रूप से सरल-से-खोज जानकारी।

बाल उपयोगकर्ता

एक बार माता-पिता द्वारा अपना वयस्क खाता बनाने के बाद, बच्चे के खाते बनाए जा सकते हैं। प्रत्येक बच्चे का खाता सीधे वयस्क खाते से जुड़ा होता है, और वे अपना अवतार, जन्म तिथि और लिंग जोड़ सकते हैं।

VTech:अपने बच्चों के डेटा के साथ खेलना

फिर डेटा को दोनों खातों को एक साथ जोड़ने के लिए "parent_id" का उपयोग करके एक स्व-संदर्भित तालिका में संग्रहीत किया जाता है, जैसे:

VTech:अपने बच्चों के डेटा के साथ खेलना

इसका मतलब है कि उल्लंघन में सुरक्षित अतिरिक्त डेटा के साथ, प्रत्येक बच्चे को उनके माता-पिता से आसानी से मिलान किया जा सकता है, उनके पते और अन्य व्यक्तिगत जानकारी का खुलासा किया जा सकता है।

नियम और शर्तें बदलें

जैसा कि हम अक्सर लंबे उपयोगकर्ता समझौतों, गोपनीयता कथनों, वेबसाइटों, गेम, सेवाओं, और अधिक के नियमों और शर्तों में बदलाव के साथ सामना करते हैं, हम सभी इस्तेमाल की जाने वाली भाषा के लिए एक छोटे से दोष बन गए हैं। मैं पूरी तरह से उन टी एंड सी की मात्रा की गणना नहीं कर सकता, जिन पर मैंने क्लिक किया है, और मुझे आश्चर्य है कि क्या किसी बिंदु पर मैंने अपनी आत्मा पर हस्ताक्षर किए हैं।

आपको लगता है कि एक प्रमुख डेटा उल्लंघन के लिए मानक प्रतिक्रिया किसी भी और सभी सुरक्षा कमियों की एक मजबूत जांच है, शायद सूचना सुरक्षा पेशेवरों द्वारा पहले से ही पूरा किए गए कार्य का स्वागत करते हैं जो बच्चों से संबंधित संवेदनशील डेटा को सुरक्षित रखने का प्रयास कर रहे हैं।

वीटेक के लिए नहीं।

इसके बजाय, उन्होंने अपने नियमों और शर्तों को स्पष्ट रूप से अस्वाभाविक शब्दावली के साथ अपडेट किया। देयता की सीमा . शीर्षक वाले अनुभाग में , पढ़ने की शर्तें:

<ब्लॉकक्वॉट>

"आप स्वीकार करते हैं और सहमत हैं कि साइट के उपयोग के दौरान आपके द्वारा भेजी या प्राप्त की गई कोई भी जानकारी सुरक्षित नहीं हो सकती है और अनधिकृत पार्टियों द्वारा इंटरसेप्ट या बाद में हासिल की जा सकती है"

मुझे माफ़ करें। क्या? उपयोगकर्ता सहमत हैं कि अगर वे फिर से हैक हो जाते हैं तो नाराज न हों या कंपनी को जिम्मेदार न ठहराएं? 2016 में, किसी भी प्रकार के नेटवर्क डिवाइस को जिम्मेदारी से बढ़ावा देने वाली कोई भी कंपनी अपने उपयोगकर्ताओं पर जिम्मेदारी का बोझ कैसे डाल सकती है, जहां वे सक्रिय रूप से संवेदनशील जानकारी मांग रहे हैं, यह मेरे से परे है।

एब्सॉल्व्ड?

बिलकुल नहीं। उनके नियमों और शर्तों-आधारित शीनिगन्स से पहले, यूके के सूचना आयुक्त कार्यालय कई अमेरिकी राज्य न्यायालयों के साथ-साथ डेटा उल्लंघन की जांच कर रहे थे। इसी तरह, उल्लंघन के तुरंत बाद, हांगकांग के गोपनीयता आयुक्त स्टीफन वोंग ने पुष्टि की कि उनके कार्यालय ने वीटेक पर "अनुपालन जांच" शुरू की थी ताकि यह आकलन किया जा सके कि कंपनी ने बुनियादी सुरक्षा सिद्धांतों का पालन किया है या नहीं।

जैसा कि मैं यह लेख लिख रहा था, यूके सूचना आयुक्त कार्यालय ने पुष्टि की कि नए नियम और शर्तें वर्तमान यूके कानून का उल्लंघन करेंगी, जिसमें कहा गया है:

<ब्लॉकक्वॉट>

"कानून स्पष्ट है कि यह लोगों के व्यक्तिगत डेटा को संभालने वाले संगठन हैं जो उस डेटा को सुरक्षित रखने के लिए जिम्मेदार हैं"

आपको क्या करना चाहिए?

ईमानदारी से, जब तक यह साबित नहीं हो जाता कि VTech ने अपने सुरक्षा संचालन में काफी सुधार किया है, उनकी वेबसाइट सहित उनके उत्पादों का उपयोग न करें।

VTech:अपने बच्चों के डेटा के साथ खेलना

भविष्य में, किसी भी नेटवर्क वाले बच्चों के खिलौने खरीदने से पहले, एक त्वरित "[उत्पाद का नाम/कंपनी का नाम] + सुरक्षा" खोज चलाने के लिए समझदारी होगी, या आप "[उत्पाद का नाम/कंपनी का नाम] + हैक/डेटा उल्लंघन" का प्रयास कर सकते हैं। उन संयोजनों में से कोई भी उस उत्पाद की सुरक्षा भलाई को शीघ्रता से चित्रित करेगा जिसे आप अपने बच्चे को सौंपने वाले हैं।

सुरक्षा उल्लंघन होने जा रहे हैं। हम बड़ी संख्या में साइटों पर संवेदनशील जानकारी साझा करते हुए बड़े पैमाने पर डिजीटल दुनिया में रहते हैं। हालांकि, हमें खुद को फायरिंग लाइन में फेंकने की ज़रूरत नहीं है, और समान रूप से, हमें अपने व्यक्तिगत डेटा की गोपनीयता के लिए एक मामूली सम्मान की उम्मीद करने का अधिकार है - हमारे बच्चों की तो बात ही छोड़ दें।

VTech उल्लंघन से प्रभावित हैं? या आप नेटवर्किंग और सूचना सुरक्षा की दुनिया में एक खिलौना निर्माता के साथ सहानुभूति रख सकते हैं? हमें नीचे बताएं!


  1. आईडी वॉचडॉग से अपनी पहचान सुरक्षित रखें

    वे कौन हैं आईडी वॉचडॉग ने बाजार में पिछले 13 वर्षों से अपना अस्तित्व साबित कर दिया है जिससे पहचान की चोरी हमेशा असंभव हो जाती है। श्री क्रेग रामसे ने जून 2005 में डेनवर, कोलोराडो में स्थित क्रेडिट पेशेवर के एक समूह के साथ इस कंपनी की स्थापना की और पहचान की चोरी संरक्षण सेवाओं में देश की अग्रणी शीर्

  1. इन सुरक्षा समाधानों से अपने प्रियजनों की रक्षा करें

    वेलेंटाइन डे खत्म हो सकता है, लेकिन यह वह जगह नहीं है जहां आपका प्यार खत्म होता है। सभी उपभोक्तावादी हंगामे के बीच, क्या हमारे विशेष लोगों को सुरक्षा के साथ पेश करना अधिक समझदारी नहीं होगी? आखिर, क्या उनकी भलाई हमारे लिए सबसे महत्वपूर्ण नहीं है? चूंकि दुनिया डिजिटल हो गई है और इसलिए, उन्हें साइबर खत

  1. क्या आपका डेटा ऑनलाइन पोर्टल के साथ सुरक्षित है | डेटा ब्रीच लिंक्डिन

    ब्लॉग सारांश - डेटा उल्लंघन नए युग के मुद्दे हैं जिनका हम डिजिटल दुनिया पर निर्भरता के साथ सामना कर रहे हैं। इस ब्लॉग में, हम सुरक्षा उपायों के बारे में बात करते हैं, यदि आपका किसी भी वेबसाइट पर ऑनलाइन खाता है। फिर भी प्रसिद्ध ऑनलाइन पोर्टल में एक और डेटा उल्लंघन हमें दिखाता है कि ऑनलाइन सहेजे ज