Діти і батьки в Мережі: історія злому сервісів VTech

Витік даних користувачів різних сервісів через злому останніх — далеко не рідкість, на жаль. Варто тільки згадати гучний злом сервісу зрад Ashley Medison, коли в Мережу витекли дані мільйонів користувачів. Величезна кількість користувачів виявилися просто ботами, але це нічого не міняє — кожен з нас вразливий.
У Мережу витікають навіть дані користувачів, які стежать за своїми обліковими записами, придумують складні паролі, намагаються передбачити негативні сценарії. Але витоку все одно відбуваються. Причому цікавий нюанс — якщо про безпеку даних дорослих людей стежать все і всюди, то проблема захисту даних дітей в Мережі якось не дуже на слуху. А проблем тут ще більше, адже діти не дуже добре ознайомлені з основами інформаційної безпеки. А якщо і так, то зломщики знаходять інші шляхи отримання даних діточок. В якості прикладу можна навести недавній злом сервісів VTech (виробник дитячих електронних іграшок), в результаті якого в Мережу витекли дані мільйонів облікових записів маленьких користувачів.
Всього мова йде про 4,8 мільйони записів, включаючи імена, e-mail, дати народження і т. п. Правда, тут більша частина учеток належала батькам, але близько 200 тисяч — це облікові записи дітей. Причому хакери отримали доступ не тільки до учетка, але і до сотень тисяч фотографій та інших матеріалів. Одним з перших користувачів, які виявили злом, став Lorenzo Bicchierai, хто часто пише для Motherboard. Цей користувач вирішив звернутися до фахівця з інформаційної безпеки.
Першим кроком, який був зроблений — деякі облікові записи з усього масиву даних були перевірені. За деякими електронними адресами були розіслані запити (з поясненням ситуації), і деякі користувачі відповіли. Результат — так, однозначно, сервіс Vtech був зламаний.
До речі, досить давно вже працює сервіс, який сповіщає користувачів у разі злому. Перевіритися і підписатися на повідомлення можна ось тут.

Так виглядає інтерфейс сервісу
А це означає, що будь-який бажаючий може провести ідентифікацію дорослих та дітей, і зрозуміти, хто батьки дітлахів, чиї дані були «злиті» в Мережу. Більш того, дані дозволяють дізнатися місце проживання більшості людей, зареєстрованих на Vtech.
Цікаво, що адміністрація сервісу не була в курсі злому до тих пір, поки їй не написав Лоренцо. Тільки після цього почалася робота з ліквідації наслідків злому. Крім того, вдалося зв'язатися і з зломщиком, який провів всю операцію. Як виявилося, він зробив це «just for fun». Дані йому були просто не потрібні.

Ось в такому вигляді були отримані всі дані
Основні дані містилися в файлі top—parent.csv, де було майже 5 млн рядків. Дані користувачів наступні:
id
encrypted_password
first_name
last_name
password_hint
secret_question
secret_answer
email_promotion
active
first_login
last_login
login_count
free_order_count
pay_order_count
client_ip
client_location
registration_url
country
address
city
state
zip
updated_datetime
Паролі представлені в такому вигляді:

А ось такі дані були потрібні при реєстрації батьків дитини:

Сама компанія Vtech випускає десятки моделей устрйоств для дітей та їх батьків, включаючи, наприклад, відеоняню. Також у Vtech є онлайн-магазин, звідки батьки можуть завантажувати електронні книги, програми та ігри для пристроїв своїх дітей.
Хакер, який зламав мережу Vtech, повідомив, що використовувалася SQL-ін'єкція. Зломщик отримає доступ до веб-серверів і БД компанії, з плным доступом.
Після аналізу того, що сталося, виявилося, що злом був лише справою часу. Наприклад, паролі були хешированы за допомогою MD5, не найскладнішого для злому алгоритму, м'яко кажучи. Більше того, питання для нагадування пароля були збережені у вигляді звичайного тексту. Так що проблеми з отриманням або обнуленням пароля не було взагалі. Цю ж інформацію, при належному бажанні, можна було використовувати і для спроби отримати контроль над учеткой користувача на інших сервісах — або Gmail банківському рахунку, як приклад.
Найгірше було те, що акаунти багатьох дітей були пов'язані з акаунтами батьків, плюс вказано й адресу проживання. В наш час таке ставлення до зберігання інформації дітей просто непробачно.
Як визначити батьків? Та дуже просто:

Дані по батькам виводяться ось в такому вигляді:
id
username
domain
ll_child_id
ll_parent_id
parent_id
country_lang
create_datetime
expired_datetime
Приклад записів:
215836, 'foo%40bar.com', 'kc-im2.vtechda.com', 0, 2700413, 2700413, 'USeng', '2013-12-25 13:55:21', NULL
і запис дитини:
215841, 'LittleJohnny', 'kc-im2.vtechda.com', 3974296, 0, 2700413, 'USeng', '2013-12-25 13:55:23', NULL
Ну, і плюс до всього, додаткові дані:
id
created_datetime
updated_datetime
parent_id
login_name
password
first_name
dob
product_code
is_avatar_created
account_level
gender
expiry_date
registration_url
Звідки вони? З інших сайтів, які пов'язані з Vtech. А саме:
www.planetvtech.com
www.lumibeauxreves.com
www.planetvtech.fr
www.vsmilelink.com
www.planetvtech.de
www.planetvtech.co.uk
www.planetvtech.es
www.proyectorvtech.es
www.sleepybearlullabytime.com
de.vsmilelink.com
fr.vsmilelink.com
uk.vsmilelink.com
es.vsmilelink.com
А виглядає все досить мило:

Ось так виглядає форма реєстрації:

Додамо акаунт дитини? Без проблем:

Варто зазначити, що проблеми безпеки, озвучені вище (наприклад, можливість за лічені секунди зв'язати дитини і батьків) не так і просто виправити. Вони, якщо так можна висловитися, фундаментальні, Vtech доведеться переробляти все, якщо не заново розробляти свої веб-сервіси і систему аутентифікації.
Після того, як про злом стало відомо, батьки стали обурюватися, питаючи, навіщо компанії було знати адресу і всі інші дані тільки для того, щоб клієнти отримали можливість скачати пару електронних книг.
І це тим більше дивно, що Vtech не використовує стандарти безпеки, давно вже стали обов'язковими. Наприклад, ніде не використовується SSL, а дані (паролі, логіни) передаються у відкритому вигляді. Загалом, навіть дивно, що на сервіс ніхто не звернув увагу раніше.
Основні проблеми безпеки Vtech
Давайте ще раз подивимося, які помилки допустила компанія, річний оборот якої складає близько 2 млрд доларів США.
1. Немає SSl. Передача даних йде по відкритих каналах, а даних досить багато. Це інформація про батьків, пароль, логін, інформація про дитину.
2. Паролі зберігаються в злегка захищеному вигляді, скажімо так. А ось секретні питання вже взагалі нічим не захищені, це звичайний текст. Так і паролі дітей також зберігаються у відкритому вигляді. Це ж діти, навіщо їх дані захищати, так?

3. Відсутність захисту від SQL-ін'єкцій. Тут взагалі все не просто, а дуже просто.
4. Повсюдне використання Flash. Від цієї технології закликає відмовлятися навіть творець, компанія Adobe. І компанія такого рівня, як Vtech, давно вже могла б це зробити, використовуючи безпечні технології.
Бережіть себе і своїх дітей!
Джерело: Хабрахабр
0 коментарів