Діти і батьки в Мережі: історія злому сервісів VTech



Витік даних користувачів різних сервісів через злому останніх — далеко не рідкість, на жаль. Варто тільки згадати гучний злом сервісу зрад Ashley Medison, коли в Мережу витекли дані мільйонів користувачів. Величезна кількість користувачів виявилися просто ботами, але це нічого не міняє — кожен з нас вразливий.

У Мережу витікають навіть дані користувачів, які стежать за своїми обліковими записами, придумують складні паролі, намагаються передбачити негативні сценарії. Але витоку все одно відбуваються. Причому цікавий нюанс — якщо про безпеку даних дорослих людей стежать все і всюди, то проблема захисту даних дітей в Мережі якось не дуже на слуху. А проблем тут ще більше, адже діти не дуже добре ознайомлені з основами інформаційної безпеки. А якщо і так, то зломщики знаходять інші шляхи отримання даних діточок. В якості прикладу можна навести недавній злом сервісів VTech (виробник дитячих електронних іграшок), в результаті якого в Мережу витекли дані мільйонів облікових записів маленьких користувачів.

Всього мова йде про 4,8 мільйони записів, включаючи імена, e-mail, дати народження і т. п. Правда, тут більша частина учеток належала батькам, але близько 200 тисяч — це облікові записи дітей. Причому хакери отримали доступ не тільки до учетка, але і до сотень тисяч фотографій та інших матеріалів. Одним з перших користувачів, які виявили злом, став Lorenzo Bicchierai, хто часто пише для Motherboard. Цей користувач вирішив звернутися до фахівця з інформаційної безпеки.

Першим кроком, який був зроблений — деякі облікові записи з усього масиву даних були перевірені. За деякими електронними адресами були розіслані запити (з поясненням ситуації), і деякі користувачі відповіли. Результат — так, однозначно, сервіс Vtech був зламаний.

До речі, досить давно вже працює сервіс, який сповіщає користувачів у разі злому. Перевіритися і підписатися на повідомлення можна ось тут.



Так виглядає інтерфейс сервісу

А це означає, що будь-який бажаючий може провести ідентифікацію дорослих та дітей, і зрозуміти, хто батьки дітлахів, чиї дані були «злиті» в Мережу. Більш того, дані дозволяють дізнатися місце проживання більшості людей, зареєстрованих на Vtech.

Цікаво, що адміністрація сервісу не була в курсі злому до тих пір, поки їй не написав Лоренцо. Тільки після цього почалася робота з ліквідації наслідків злому. Крім того, вдалося зв'язатися і з зломщиком, який провів всю операцію. Як виявилося, він зробив це «just for fun». Дані йому були просто не потрібні.



Ось в такому вигляді були отримані всі дані

Основні дані містилися в файлі top—parent.csv, де було майже 5 млн рядків. Дані користувачів наступні:

id

email

encrypted_password

first_name

last_name

password_hint

secret_question

secret_answer

email_promotion

active

first_login

last_login

login_count

free_order_count

pay_order_count

client_ip

client_location

registration_url

country

address

city

state

zip

updated_datetime


Паролі представлені в такому вигляді:



А ось такі дані були потрібні при реєстрації батьків дитини:



Сама компанія Vtech випускає десятки моделей устрйоств для дітей та їх батьків, включаючи, наприклад, відеоняню. Також у Vtech є онлайн-магазин, звідки батьки можуть завантажувати електронні книги, програми та ігри для пристроїв своїх дітей.

Хакер, який зламав мережу Vtech, повідомив, що використовувалася SQL-ін'єкція. Зломщик отримає доступ до веб-серверів і БД компанії, з плным доступом.

Після аналізу того, що сталося, виявилося, що злом був лише справою часу. Наприклад, паролі були хешированы за допомогою MD5, не найскладнішого для злому алгоритму, м'яко кажучи. Більше того, питання для нагадування пароля були збережені у вигляді звичайного тексту. Так що проблеми з отриманням або обнуленням пароля не було взагалі. Цю ж інформацію, при належному бажанні, можна було використовувати і для спроби отримати контроль над учеткой користувача на інших сервісах — або Gmail банківському рахунку, як приклад.

Найгірше було те, що акаунти багатьох дітей були пов'язані з акаунтами батьків, плюс вказано й адресу проживання. В наш час таке ставлення до зберігання інформації дітей просто непробачно.



Як визначити батьків? Та дуже просто:



Дані по батькам виводяться ось в такому вигляді:

id

username

domain

ll_child_id

ll_parent_id

parent_id

country_lang

create_datetime

expired_datetime


Приклад записів:

215836, 'foo%40bar.com', 'kc-im2.vtechda.com', 0, 2700413, 2700413, 'USeng', '2013-12-25 13:55:21', NULL

і запис дитини:

215841, 'LittleJohnny', 'kc-im2.vtechda.com', 3974296, 0, 2700413, 'USeng', '2013-12-25 13:55:23', NULL

Ну, і плюс до всього, додаткові дані:

id

created_datetime

updated_datetime

parent_id

login_name

password

first_name

dob

product_code

is_avatar_created

account_level

gender

expiry_date

registration_url



Звідки вони? З інших сайтів, які пов'язані з Vtech. А саме:

www.planetvtech.com

www.lumibeauxreves.com

www.planetvtech.fr

www.vsmilelink.com

www.planetvtech.de

www.planetvtech.co.uk

www.planetvtech.es

www.proyectorvtech.es

www.sleepybearlullabytime.com

de.vsmilelink.com

fr.vsmilelink.com

uk.vsmilelink.com

es.vsmilelink.com



А виглядає все досить мило:



Ось так виглядає форма реєстрації:



Додамо акаунт дитини? Без проблем:



Варто зазначити, що проблеми безпеки, озвучені вище (наприклад, можливість за лічені секунди зв'язати дитини і батьків) не так і просто виправити. Вони, якщо так можна висловитися, фундаментальні, Vtech доведеться переробляти все, якщо не заново розробляти свої веб-сервіси і систему аутентифікації.

Після того, як про злом стало відомо, батьки стали обурюватися, питаючи, навіщо компанії було знати адресу і всі інші дані тільки для того, щоб клієнти отримали можливість скачати пару електронних книг.

І це тим більше дивно, що Vtech не використовує стандарти безпеки, давно вже стали обов'язковими. Наприклад, ніде не використовується SSL, а дані (паролі, логіни) передаються у відкритому вигляді. Загалом, навіть дивно, що на сервіс ніхто не звернув увагу раніше.

Основні проблеми безпеки Vtech
Давайте ще раз подивимося, які помилки допустила компанія, річний оборот якої складає близько 2 млрд доларів США.

1. Немає SSl. Передача даних йде по відкритих каналах, а даних досить багато. Це інформація про батьків, пароль, логін, інформація про дитину.

2. Паролі зберігаються в злегка захищеному вигляді, скажімо так. А ось секретні питання вже взагалі нічим не захищені, це звичайний текст. Так і паролі дітей також зберігаються у відкритому вигляді. Це ж діти, навіщо їх дані захищати, так?



3. Відсутність захисту від SQL-ін'єкцій. Тут взагалі все не просто, а дуже просто.

4. Повсюдне використання Flash. Від цієї технології закликає відмовлятися навіть творець, компанія Adobe. І компанія такого рівня, як Vtech, давно вже могла б це зробити, використовуючи безпечні технології.

Бережіть себе і своїх дітей!

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.