Esta vez los hackers atacaron a la multinacional VTech y se hicieron con un listado de usuarios de casi 5 millones de personas que incluyen datos de adultos y de sus hijos, tales como nombres, apellidos, direcciones físicas y contraseñas.
La aplicación Lodge
Otro día, otra violación de datos masiva de los datos personales de millones de personas inocentes. La empresa de electrónica y fabricante de juguetes VTech ha tenido que cerrar su tienda de aplicaciones y aprendizaje orientada a la familia llamada Lodge, después de que los atacantes lograron tener acceso a la información de las cuentas de casi cinco millones de adultos y niños que se habían inscrito para poder disfrutar de ese servicio.
Los juguetes para los niños de la fábrica VTech, con sede en Hong Kong, incluyen varias versiones de juegos para tabletas, ordenadores portátiles, móviles e incluso smartwatches.
Todos están posicionados como juguetes educativos e incluyen la integración con la tienda de aplicaciones de aprendizaje VTech Lodge, con el fin de poder personalizarlos, obtener ayuda online, asegurar la fiabilidad de los accesos (cambios de contraseñas) y conseguir nuevas aplicaciones.
De hecho, para hacer casi cualquier cambio en el software incluido en los juegos, los padres tienen que registrarse para obtener una cuenta de Aprendizaje Lodge, generando una entrada para sí mismos y otra para cada uno de sus hijos que sea usuario de los juegos, habilitándoles así el acceso a sus propias cuentas.
Miles de datos perdidos
Los datos recogidos por VTech variaban un poco dependiendo del sitio utilizado para inscribirse, ya que había varios portales diferentes que podían usarse para la creación de una cuenta de VTech. Aquí es donde radica el problema y el punto de inflexión donde se generó la brecha para obtener la información.
Es muy obvio que VTech no estaba haciendo un muy buen trabajo en cuanto al control de seguridad de dichos datos. Según la compañía, los hackers lograron acceder a nombres, direcciones de correo electrónico, dirección física, dirección IP, al historial de descargas, a las password personales y a las preguntas de recuperación de contraseñas y respuestas. Los afectados son los consumidores de EE.UU., Reino Unido, Canadá, Alemania, China y una serie de otras regiones.
¿Disculpas?
VTech dice que ha contactado con todos los clientes afectados, pero que en realidad no se puede hacer mucho más que encogerse de hombros y ofrecer una disculpa.
Al menos VTech no tiene datos de pago, porque de lo contrario, probablemente éstos se hubieran filtrado también y el problema tomaría otro cariz mucho más serio. Seguramente por ello fue que VTech no se tomó la seguridad de su base de datos como un problema prioritario, pero así y todo hoy es un buen dolor de cabeza para la multinacional.
La violación ocurrió el 14 de noviembre y el investigador de seguridad Troy Hunt ha presentado un informe exhaustivo de los datos robados. El paquete incautado por los hackers contiene un archivo normal del tipo CSV con 4.862.625 archivos (uno por cada cuenta de usuario registrado) con todos los datos recabados como el correo electrónico, nombre y apellidos, pregunta secreta y respuesta para recuperar las passwords y una contraseña cifrada.
Quizá haya quienes respiren aliviados porque las contraseñas estaban cifradas, pero lamentablemente esto no da tranquilidad a nadie, porque el tipo de cifrado era tan básico que se puede “romper” con suma facilidad.
Todo lo demás está en texto plano, lo que es una verdadera locura. Los archivos CSV contienen datos sobre los niños con identificaciones que los conectan a las cuentas de sus padres y que además incluyen una serie de datos adicionales.
La seguridad ante todo
Este es un error significativo para VTech y el daño no va a revertirse solamente con cerrar su tienda de aplicaciones y decir lo siento. Está muy claro para los usuarios afectados, que la empresa no se tomó en serio la seguridad de sus datos ya que ni siquiera se molestaron en usar SSL, probablemente porque incluían archivos vinculados a juguetes para niños. Sin embargo, la información personal sigue siendo personal y el problema es muy grave, ya que se viola la confianza del cliente y eso termina pagándose muy caro.
Los afectados, están realmente indignados, ya que no tienen idea en manos de quién están los datos personales de sus hijos y los suyos propios, por lo que no es muy factible que se conformen con simples excusas y un pedido de disculpas formal, por parte de la empresa.
Desde el momento en el que alguien solicita los datos personales de un usuario, debe garantizársele que éstos serán usados única y exclusivamente para el fin que se los suministra y la seguridad de los mismos debe ser una prioridad para el receptor, no importa qué tipo de datos sean.
