Hlad po informacích a po všem, co lze nějakým způsobem zpeněžit a využít, nemá konce. Pokud získané informace nikdo nezneužije a jsou bezpečně uloženy, tak se nic neděje. Co se ale stane, pokud hackeři zaútočí na výrobce hraček, který shromáždil osobní informace o stovkách tisíc dětí? Čím se něco takového liší od zásadního hacku Ashley Madison?
Přes 4,8 milionu záznamů o zákaznících a uživatelích webových stránek společnosti VTech se dostalo do rukou hackerů. Mezi nimi je několik set tisíc záznamů o dětech. Kdo jsou jejich rodiče a také kde bydlí, heslo i bezpečnostní otázka s odpovědí a pochopitelně, například, i co mají za hračku/hračky.
Čínská společnost VTech provozuje web, na kterém se zákazníci registrují, aby si mohli k hračkám stahovat dodatečný software. Jak se můžete dočíst v One of the Largest Hacks Yet Exposes Data on Hundreds of Thousands of Kids, hackerům se podařilo z jejich serveru získat skoro pět milionů záznamů o rodičích a přes dvě stě tisíc informací o dětech.
Konkrétně jde o 4 833 687 účtů „rodičů“ (e-mail, hesla, adresy, bezpečnostní otázky, produkty, atd.) a u dětí byla odcizena křestní jména, informace o pohlaví a data narození. Údaje o dětech jsou ale propojeny s rodiči, takže je možné získat kompletní jména, včetně toho, kde bydlí.
Firma hack potvrdila, ale klasicky o něm až do okamžiku, kdy ji upozornil autor výše uvedeného článku na Motherboard.com, vůbec nevěděla. V pátek nakonec společnost únik dat oznámila, ale zákazníky nijak blíže o jeho závažnosti neinformovala. Nezmínili se o objemu úniku, ani tom, že uložená hesla jsou šifrována nedostatečně. A hlavně, ani slovo o tom, že unikly informace o stovkách tisíc dětí.
Ohroženy mohou být i informace českých zákazníků
Vtech není žádný malý výrobce hraček, je natolik rozšířený po světě, že jeho výrobky najdete i v České republice, včetně české verze webu (na www.vtechcz.cz).
Na tom informaci o hacku nehledejte, ale na mateřském webu ano (viz Data Breach on VTech Learning Lodge). Podle tohoto vyjádření mají uniklá data spojitost s webem Learning Lodge – ten je momentálně mimo provoz.
Samotný hack proběhl s pomocí SQL injection, tedy vsunutí SQL příkazů do parametrů některého ze skriptů, které jsou dostupné na webu. Jedna z nejčastějších chyb, která také nejsnáze vede k získání přístupu k obsahu databází. Hacker serveru Matherboard sdělil, že se mu poté podařilo získat přístup k webu i databázím v root úrovni, tedy v plné podobě. Jakkoliv hacker uvádí, že data se nechystá zveřejnit, není vůbec jisté, jestli je nezískal i někdo jiný.
Zásadní problém v úniku dat o dětech
Pokud uniknou data ze služby jako je seznamka pro nevěrníky (viz kauza Ashley Madison), dotkne se problém dospělých lidí, u kterých lze předpokládat, že se s hackem a případnou snahou o zneužití dokáží vyrovnat. Data uniklá z VTechu se ale týkají dvou stovek tisíc dětí, které se s případným útočníkem, ať už je to pedofil nebo někdo, kdo chce škodit jinak, zcela určitě vypořádat nedokáží. Objemem jde navíc o jeden z největších úniků spotřebitelských informací v historii.
Pokud jste si pořídili hračku od VTechu, měli byste si ověřit, jestli právě vaše informace nejsou nyní dostupné někomu cizímu.
Troy Hunt, provozovatel serveru haveibeenpwned.com, se nejenom podílel na analýze dat pro Motherboard, ale také do své služby doplnil e-maily, které v úniku byly. Stačí na této adrese zadat vaši e-mailovou adresu a zjistíte, jestli je v úniku (ale také jestli není v jiných únicích). Nic jiného tam zjistit nemůžete, pouze prosté je/není.
Pokud jste se na webech VTechu někdy registrovali, tak považujte vaše tamní heslo za prozrazené a už nikdy ho nepoužívejte. Pokud máte obvyklý laxní přístup a hesla používáte na více webech, je nejvyšší čas přístup změnit, pořídit si správce hesel a strávit pár hodin tím, že všude, kde máte toto heslo, si nastavíte nové, pro každou službu unikátní. Unikla navíc i kompletní bezpečnostní otázka i s odpovědí, takže pokud ji někde používáte, musíte změnit i to.
Pokud jste snad VTechu poskytli informace o vašem dítěti či dětech, tak na to žádné řešení neexistuje. Někdo neznámý tyto informace má a může je zneužít. Od neškodných věcí jako je cílení spamu až po závažné věci v podobě někoho, kdo bude chtít ublížit vám, nebo vašemu dítěti. Na něco podobného jste měli myslet ještě předtím, než jste vyplnili kdesi na potenciálně nebezpečném webu konkrétní informace o dítěti.
Sám Troy Hunt únik informací o dětech komentuje ve When children are breached – inside the massive VTech hack a vůbec se nelze divit tomu, že je únikem dat zděšený a upozorňuje na to, že jde o extrémně nebezpečnou situaci. Ukazuje tam i na obvyklé zásadní problémy dostat se ke konkrétní zodpovědné osobě u napadené společnosti i to, že nelze věřit vyjádřením, které hacknuté firmy zveřejňují.
Ignorantský přístup VTechu
Hesla uložená jako MD5 hash? Výborný způsob, protože díky tomu je možné hesla okamžitě získat. Kontrolní otázky a odpovědi na ně uložené v čistě čitelné podobě. V databázi uživatelů je poté už vše klasické – jméno, příjmení, kdy se poprvé a naposledy přihlásil, odkud se přihlašuje, adresa bydliště.
Co se dětí týče, tak mají vlastní účet, propojený s účtem rodiče a obsahují jména, data narození, pohlaví a přihlašovací údaje. Uniklo celkem 227 622 takových záznamů. Nutno dodat, že zakládání účtů dětí neprobíhalo pouze na webech VTechu, ale ještě na některých dalších webech, které se společností souvisí. V databázi nakonec nechybí ani informace o tom, které z produktů si zákazník pořídil.
Troy Hunt upozorňuje, že VTech své weby provozuje bez SSL, ale také třeba to, že heslo rodiče se běžně shoduje s heslem dítěte. A aby toho nebylo málo, hesla dospělých jsou sice uložena v MD5 podobě, ale hesla dětí jsou v čisté textové podobě. Stejně ignorantsky se tvůrci webu chovají v oblasti bezpečnostních otázek a odpovědí na ně.
Troy Hunt navíc ukazuje i na takové ty skoro klasické věci, jako že když zadáte špatně heslo, tak server odpoví přímo s textem neúspěšného SQL dotazu (a ano, uvidíte tam MD5 hash). Do záplavy nezodpovědného přístupu si přidejte i značné používaní Flashe, včetně funkčností, které v žádném případě Flash nepotřebují.
Web VTechu je, pokud si ho budete prohlížet, takovou připomínkou toho, jak se weby v minulosti dělaly. Podle všeho je tomu tak i na serverové straně a nejenom proto, že je to celé ve staré verzi ASP.NET, ale také výše uvedenými způsoby řešení věcí. Protože tímto způsobem se programovaly weby někdy před pěti a více lety.
Podstatně horší informace nakonec Troy Hunt pouze zmiňuje, ale nijak konkrétně nerozvádí – informace o uživatelích a dětech podle něj byly volně získatelné přes web. Bez jakékoliv potřeby cokoliv hacknout či obejít, prostě tak „jak web fungoval“.
Lze se velmi oprávněné domnívat, že dotazy do databáze (osobně bych si tipnul z Flash souborů) byly nehlídané a uskutečnitelné i bez přihlášeného uživatele, včetně obvyklého problému se sekvenčním přístupem k datům v databázi přes jejich číselné ID. Jedna z těch typických chyb, které se objevovaly a objevují u aplikací ve Flashi – tvůrci se domnívají, že nikdo nemůže zjistit, na jakou URL směřují dotazy z Flashe.
Závěr
Pokud jste vy (a vaše děti) uživateli produktů od společnosti VTech, tak se ujistěte, že jste se nikdy neregistrovali na jejich webu (pomoci vám může kontrola e-mailu v haveibeenpwned.com, protože jejich web je mimo provoz). Pozor na trochu starší děti, které se mohly zaregistrovat i bez vašeho vědomí.
Pokud se vaše informace nacházejí v databázi VTechu, máte problém. Je nutné změnit hesla, jak vaše, tak u případných online účtů vašeho dítěte. Pokud o vašem dítěti VTech získal výše uvedené informace, je zde potenciální riziko, že se ho někdo může snažit kontaktovat online a zneužít informace k různorodým účelům. Je to něco, čemu už zabránit nemůžete, ale můžete alespoň dítě poučit o tom, že něco takového se může dít a jak se má zachovat.
Jedno zásadní poučení pro budoucnost? Nevyplňujte informace o vás a o dětech pravdivě. O dětech ideálně nevyplňujte nic, protože jsou příliš snadno zneužitelným terčem.
Měli byste se pokusit o to, aby váš účet z databází VTechu zmizel, tedy smazat ho. V tom ale narazíte na další typickou ukázku ignorance tvůrců tohoto webu: účty není možné mazat. Jediné, co můžete udělat, pokud se vám vůbec podaří přihlásit, je, že všechny údaje změníte na nesmyslné. Jakkoliv vám to po už existujícím úniku může připadat zbytečné, není tomu tak. Systémy VTechu jsou velmi pravděpodobně stále zneužitelné.
