Go to Top

Geklaute Daten – auch Kinder können Opfer sein

VTech - © Motherboard - Lorenzo Francheschi-Bicchierai

Das Unternehmen VTech ist das nächste Hacking-Opfer im Millionenbereich. Der internationale Konzern mit Hauptsitz in Hong Kong ist im Bereich Telekommunikation und Lernspielzeug tätig und vertreibt (auch in Deutschland) Lerncomputer für Kinder. Mit der IT-Sicherheit haben es die Herren Wong allerdings nicht so sehr: Ein Hacker knackte die Server von VTech und kam so an Daten von 6,4 Millionen Kindern (Name, Geschlecht, Geburtsdatum), dazu an die E-Mail-Adressen, verschlüsselte Passwörter, IP-Adressen und Postanschriften von 4,8 Millonen Elternkonten. In Deutschland sind 391 000 Eltern-Konten und etwa 509.000 Kinder-Profile betroffen.

Die Blogging-Plattform „Motherboard“ wurde von dem Hacker kontaktiert. Die geklauten Informationen wolle er nicht verwenden; es mache ihn krank, dass er die Möglichkeit hatte, sensible Daten abzugreifen. Mehr als 190 GByte Daten konnte er herunterladen, darunter (wie der Hacker bei einer zweiten Kontaktaufnahme mitteilte) auch bis zu 10000 Porträtfotos von Kindern. Einige wurden – geschwärzt – von motherboard veröffentlicht. Bei den meisten Bildern soll die exakte Zuordnung zu den entsprechenden Zugangsdaten möglich sein, wodurch ein böswilliger Angreifer neben den Porträts auch die Postadresse und weitere persönliche Daten der Geschädigten hätte benutzen können. Auch Chatprotokolle und Aufzeichnungen von Gesprächen zwischen Kindern und Eltern konnte der anonyme Hacker erbeuten.

Der Einbruch wurde recht simpel mit Hilfe einer SQL-Injektion durchgeführt, die gespeicherten Passwörter waren nur schwach verschlüsselt. Gemerkt hat VTech nichts von alledem. Erst als der Motherboard-Journalist Lorenzo Francheschi-Bicchierai der Firma eine entsprechende Mail schickte, hat sie von dem Hack erfahren – und inzwischen Server vom Netz genommen und einige Dienste eingestellt.

Ein weiterer, zwar unspektakulärer aber erwarteter Hack, traf die Wlan-Puppe „Hello Barbie“. Die Super-Barbie hört Kindern zu und gibt auf Fragen „passende“ Antworten (sofern sie welche auf ihrem Server findet). Die Aufnahmen sollen zwei Jahre gespeichert werden. Der Sicherheitsforscher Matt Jakubowski hat nach eigenen Angaben Zugriff auf das Mikrofon und die Audiodateien bekommen (Barbie hört natürlich permanent zu, um keine Frage zu verpassen). Jakubowski will nun in einem zweiten Angriff beweisen, dass er auch Barbies Antworten beeinflussen. In den USA kommt die High-Tech Puppe wahrscheinlich zu Weihnachten in den Handel.

Screenshot: Motherboard