Bijna 125.000 Nederlandse kinderen getroffen door hack bij VTech

Bij een cyberaanval op VTech, fabrikant van speelgoed waaronder computers voor kinderen, zijn gegevens van 6,4 miljoen kinderen gestolen. Ook 225.000 Nederlanders zijn getroffen door de cyberaanval. Het gaat om ruim 100.000 ouders en bijna 125.000 kinderen.

Dit blijkt uit cijfers die VTech op zijn website heeft gepubliceerd. De aanval op de online winkel ‘Learning Lodge’ en de app ‘Kid Connect’, waarmee ouders op afstand kunnen communiceren met kinderen via audio- en tekstberichten, vond op 14 november plaats en werd 27 november naar buiten gebracht door Motherboard. Deze site heeft contact heeft met de hacker, die stelt in totaal 190GB aan foto’s van kinderen en zowel chat- als audioberichten tot een jaar terug in handen te hebben. Een klein deel van deze content is doorgespeeld naar Motherboard om zijn verhaal te onderbouwen. VTech zelf stelt dat gegevens maximaal 30 dagen worden bewaard, wat door de hacker dus wordt tegengesproken.

Encryptie

Ook stelt VTech dat gegevens versleuteld worden opgeslagen. Beveiligingsonderzoeker Troy Hunt heeft op verzoek van Motherboard de sample van de gestolen data onderzocht. Hieruit blijkt dat VTech e-mailadressen en wachtwoorden weliswaar beveiligd opslaat, maar hiervoor de md5 cryptografische hashfunctie gebruikt. Deze staat bekend als onveilig.

Ook wijst de analyse uit dat geheime vragen, waarmee gebruikers hun wachtwoord kunnen onthouden en eventueel herstellen, onversleuteld zijn opgeslagen. De website van VTech maakt daarnaast geen gebruik van versleuteling, waardoor inloggegevens onversleuteld worden verstuurd en kunnen worden onderschept door aanvallers. Opvallend is ook dat VTech de hack zelf niet in de gaten had. Het bedrijf geeft toe de aanval pas op het spoor te zijn gekomen nadat Motherboard hierover schreef.

Data wordt niet verkocht

De hacker die achter de aanval stelt te zitten geeft aan niet van plan te zijn de data te verkopen of verspreiden. De aanvaller stelt de data uitsluitend te hebben gedeeld met Motherboard.

Meer over
Lees ook
‘9 op de 10 inlogpogingen op bedrijfssystemen van Fortune 100-bedrijven is malafide’

‘9 op de 10 inlogpogingen op bedrijfssystemen van Fortune 100-bedrijven is malafide’

Cybercriminelen proberen op grote schaal met behulp van op internet gepubliceerde gestolen inloggegevens in te loggen bij bedrijfssystemen van Fortune 100-bedrijven. Gemiddeld is maar liefst 90% van alle inlogpogingen bij deze bedrijfssystemen malafide. Hiervoor waarschuwt beveiligingsbedrijf Shape Security, dat beveiliging levert tegen geautomati1

Amerikaan opgepakt voor betrokkenheid bij datadiefstal JPMorgan Chase in 2014

Amerikaan opgepakt voor betrokkenheid bij datadiefstal JPMorgan Chase in 2014

Een Amerikaanse man is gearresteerd voor betrokkenheid bij de grootschalige datadiefstal bij de Amerikaanse bank JPMorgan Chase in 2014. De man wordt verdacht van cybercriminaliteit, fraude en witwassen. Dit meldt het Amerikaanse Openbaar Ministerie (OM). Bij de datadiefstal in 2014 werden gegevens buitgemaakt van 83 miljoen klanten van JPMorgan C1

Voormalig klantadviseur VGZ blijkt persoonsgegevens klanten te hebben gestolen

Voormalig klantadviseur VGZ blijkt persoonsgegevens klanten te hebben gestolen

Een oud-medewerker van VGZ blijkt via valse declaraties bijna drie ton van de zorgverzekeraar te hebben weggesluisd naar eigen bankrekeningen. De voormalig klantadviseur heeft daarnaast gegevens van bijna tweehonderd klanten van VGZ gestolen en geprobeerd hiermee valse declaraties in te dienen. Dit blijkt uit een kort geding dat dinsdagmiddag dien1