10
| 本文作者: 溫曉樺 | 2015-12-01 17:51 |
在互聯網時代,我們早已習慣那些針對金融和零售機構的大規模黑客攻擊,但最近香港兒童電子產品制造商Vtech(偉易達)遭遇的一起“數字洗劫”揭示了一個讓人震驚的現實——互聯網中,任何人都極容易受到攻擊,即使是兒童。
本周一即今日,偉易達在官方網站發布了公開信,承認11月14日該公司遭受了黑客攻擊,500萬消費者賬號以及賬號關聯的兒童用戶數據受到影響。據媒體最初的報道,本次黑客攻擊的目標是偉易達公司應用商店“學習小屋”的數據庫。
據媒體周五披露,在11月中旬黑客便已攻進了偉易達的服務器,并盜走500萬名父母和超過20萬兒童的數據,其中包括姓名、電子郵件地址、密碼、家庭住址、IP地址、性別、生日和下載歷史等等。
上周末,這名黑客告訴媒體,偉易達將這些兒童的照片和聊天記錄等數據暴露在服務器上。這些數據來自偉易達公司的應用程序Kid Connect,改程序是父母與孩子通過VTech平板進行交流的即時通訊工具。在該公司的在線教程中,父母和孩子被鼓勵貼上自己的大頭照。據黑客披露,這些文件總共190GB。
偉易達公司此前并未回應為何會將用戶數據放在這么危險的地方。如安全研究人員 Mark Nunnikhoven所言,企業選擇數據儲存空間時應當小心謹慎,更應該先對數據被盜風險進行評估。如果該公司有這么做,也不至于將用戶數據儲存在最危險的地方。偉易達公司回應說,黑客未能得到用戶的信用卡、社保號碼等更隱私的數據。
在加密聊天中,黑客稱:“坦白地說,輕易地就接觸到所有這些數據,我感到很不舒服。”探測那個脆弱的服務器時,他發現成千上萬父母和兒童的照片,有些是空白的,有些是重復的,所以很難確定哪些才是合法的照片。不過,黑客還表示,他并不打算公開或銷售數據。
當被詢問入侵的目的時,黑客表示“沒有”,并交代他們是通過SQL植入式攻擊來獲得資料的。
任何一個從“學習小屋”下載過應用、游戲、電子書或其他軟件的,或者是使用過Kid Connect服務的用戶,此時此刻都應該考慮自身的信息安全問題。這是一個龐大的用戶群體,因為偉易達的產品還是很受歡迎的,除了通過InnoTab品牌平板電腦建立起一個教育游戲系統,該公司還研發了智能手表。
鑒于黑客獲得的190GB數據中,500萬父母和20萬兒童的姓名、姓名、生日數據均在其中,因此將每個家庭匹配起來的可能性就更大。一旦數據有了某些確定性,危害將進一步擴大,比如快速發現某位兒童的家庭住址。
根據網站Have I been pwned的數據,偉易達資料失竊屬于第四大嚴重的黑客事件,僅次于偷情網站Ashley Madison事件和免費網頁寄存服務000webhost。
目前唯一值得安慰的是,黑客表示不會進行惡意的數據交易;黑客將他所獲得的數據發送給了媒體Motherboard,只是想引起公眾的注意,偉易達的數據庫是何等的脆弱。偉易達回應稱,這不是固有存在的問題,但會尋求額外的措施加以鞏固。
而令人略感失望的是,黑客并不會主動露面,這就意味著這件事無法徹查。“美國東部時間11月23日,我們收到一封來自加拿大一名記者詢問此事的郵件,”偉易達公司表示,“收到該郵件后,我們進行了一次內部排查,發現在香港時間11月14日,‘學習小屋’的網站遭到非法訪問活動。”除此之外,偉易達并不了解其他實情了。
黑客事件著實令人不安。如果這次真的只是如黑客所表示的當做一個提醒——我們越多地將孩子帶入互聯網,就意味著越多地將其暴露在充滿可疑網絡安全事件的成長環境當中——如今,云端連接、兒童專用的電子產品早已充斥在商店的周圍,問題似乎還有值得慶幸的余地。然而,這件事明顯也成為公共安全的恥辱,給我們帶來安全焦慮。下一次有可能比這一次更加嚴重。
事實上,如果像偉易達這樣的企業繼續缺乏任何數據安全的保護意識,也許“下一次”很可能已經發生了。幾年來,已有多家大公司遭遇黑客入侵,大量的數據遭到泄露,比如索尼。
via Wired
相關閱讀:
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
