VTech-Hack - Daten von 6,4 Millionen Kindern erbeutet

Der Hacker-Angriff auf den Spielzeug-Hersteller VTech hat wesentlich größere Ausmaße als zunächst gedacht. Er betrifft auch 6,4 Millionen Kinder-Profile weltweit und rund 509.000 in Deutschland.

Der Hack von VTech betriftt über 4,8 Millionen Eltern und 6,4 Millionen Kinder. Der Hack von VTech betriftt über 4,8 Millionen Eltern und 6,4 Millionen Kinder.

Der Datendiebstahl beim Spielzeug-Hersteller VTech aus Hongkong ist einer der größten der bisherigen Geschichte und belegt laut einer Statistik den vierten Platz in der Rangliste. Allerdings dürften noch nie so viele Kinder von einem Hack betroffen gewesen sein. Im November hatte ein Hacker durch die klassische Methode »SQL Injection« Code in die Datenbank eingeschleust, der ihm dann auch Zugriff auf die Server mit vollen Administrator-Rechten ermöglichte.

Wie VTech nun erklärte, ist das Ausmaß des Datendiebstahls noch größer als zunächst vermutet. Insgesamt wurden die Namen, die E-Mai-Adressen, die verschlüsselten Passwörter, IP-Adressen, Download-Verläufe und auch die Anschrift von 4.833.678 Eltern erbeutet. Diese Datensätze sind aber auch mit weltweit 6,4 Millionen Kinder-Profilen verbunden. Dadurch lassen sich laut Experten auch die Anschriften der Kinder herausfinden, was bei Eltern natürlich besondere Sorge aufkommen lässt.

In Deutschland sind von dem Hack rund 391.000 Eltern-Accounts mit 509.000 Kinder-Profilen betroffen, die beispielsweise für Storio-Lerntablets oder die MobiGo-Lerncomputer genutzt werden. Die entsprechenden Downloads hat VTech inzwischen auf seiner deutschen Webseite deaktiviert, um Schritte zur Sicherheit der Systeme zu unternehmen. Laut mehreren Berichten im Web scheint das auch notwendig zu sein, da VTech auf den Servern angeblich die Sicherheitsfragen und deren Antwort im Klartext gespeichert und auch Passwörter nur schwach verschlüsselt haben soll. Außerdem wurde für Übertragungen von Daten wohl auch keine SSL-Verschlüsselung verwendet.

Immerhin soll der Hacker erklärt haben, die erbeuteten Daten nicht veröffentlichen zu wollen. Er könne aber aufgrund des leichten Zuganges nicht ausschließen, dass sich andere nicht schon vorher Zugriff auf die Datenbanken verschafft hätten. Warum VTech für Downloads überhaupt Daten wie die Anschrift von Kunden auf seinen Servern speichern muss, ist nicht bekannt.

Quelle: Spiegel, Motherboard, VTech

zu den Kommentaren (17)

Kommentare(16)
Kommentar-Regeln von GameStar
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.

Nur angemeldete Benutzer können kommentieren und bewerten.