Angriff auf Spielzeughersteller: Hacker erbeuten angeblich Datensätze von 200.000 Kindern

Der chinesische Hersteller von Lerncomputern VTech hat Berichte über einen Hackerangriff auf seine Server bestätigt. Unbekannte hätten am 14. November Zugriff auf die Datenbank seines App Stores “Learning Lodge” gehabt. Angaben darüber, auf welche Daten die Angreifer zugreifen konnten, hat das Unternehmen nicht gemacht.

Das Blog Motherboard vermeldet indes, dass die Datenbank Informationen über “4.833.768 Eltern” enthalte, die Produkte von VTech gekauft haben. Zudem hätten die Angreifer Daten wie Vornamen, Geschlecht und Geburtstage von mehr als 200.000 Kindern erbeutet. Diese Angaben will es von einer an dem Angriff beteiligten Person erfahren habe. Der Informant führte gegenüber Motherboard weiter aus, dass eine Veröffentlichung der Daten nicht geplant sei.

Dem Bericht zufolge nutzte der Hacker eine als SQL-Injection bekannte Technik, um die Datenbank zu kompromittieren. Danach habe er die vollständige Kontrolle über VTechs Web- und Datenbankserver gehabt. Auch wenn er selber nicht plane, die Daten zu veröffentlichen, sei nicht ausgeschlossen, dass andere vor ihm bereits in das System eingebrochen seien.

Die rund 4,8 Millionen Datensätze umfassen laut einer Analyse des Sicherheitsexperten Troy Hunt, Betreiber der Website “Have I Been Pwned”, E-Mail-Adressen mit den zugehörigen per MD5 gehashten Passwörtern sowie die Sicherheitsfragen mit Antworten – letztere jedoch unverschlüsselt. “Das ist sehr nachlässig”, sagte Hunt dem Bericht zufolge. “Bei der Speicherung der Passwörter haben sie einen schlechten Job gemacht”, ergänzte er in Bezug auf die verwendete MD5-Verschlüsselung, die als leicht zu knacken angesehen wird.

Motherboard und Hunt haben nach eigenen Angaben zusammen die Betroffenen per E-Mail über den Verlust ihrer Daten informiert. “Warum müssen die meine Adresse wissen, warum müssen die alle diese Informationen haben, damit ich ein paar kostenlose Bücher für mein Kind auf dieses alberne Tablet laden kann? Warum hatten sie alle diese Informationen”, zitiert Motherboard aus der Antwort eines britischen Opfers.

Hunt weist in seinem Blog zudem darauf hin, dass VTech keine SSL-Verschlüsselung benutzt und Daten wie Passwörter im Klartext überträgt. Auch die Datenbanken und APIs des Unternehmens seien nicht sicher. “Das Fazit ist, es braucht nicht einmal einen Einbruch. Sicherheit muss man vor einem Datenverlust ernst nehmen, und nicht danach, um die Leute zu beschwichtigen.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.