Vtech : les jouets pour enfants ont été piratés

Plus de 4,8 millions de comptes Learning Lodge, la boutique d’applications des jouets Vtech, ont été piratés le 14 novembre. Une information confirmée par le constructeur chinois qui se veut rassurant en précisant qu’aucune donnée bancaire n’est sortie de ses serveurs.

Si les comptes en banque des parents sont à l’abri, les données personnelles de leurs bambins ne jouent pas la même chanson. Prénoms, sexe et date d’anniversaire de plus de 227 000 enfants sont tombés sous la main du pirate. Autant de données qu’il a aussi pu associer aux informations des comptes des parents qui contiennent noms, emails, mots de passe (cryptés en MD5, un algorithme de hachage obsolète), adresses IP et adresses physiques. De quoi lier les deux générations et ainsi recomposer les familles. Des informations précises qui ont un fort potentiel pour des opérations de phishing ciblées, par exemple.

Des données non diffusées

Le pirate à l’origine de l’intrusion du 14 novembre a transmis les informations collectées au site Motherboard en expliquant que « c’était très facile à télécharger. Quelqu’un d’autre, avec des objectifs plus sombres, aurait facilement pu le faire. » Il assure également ne pas avoir diffusé les documents à d’autres parties.

Pour s’introduire dans la base de données de Vtech, il explique avoir exécuté une attaque par injection SQL qui lui aurait donné un accès « root », soit celui de l’utilisateur ultime, celui qui détient toutes les permissions.

Une sécurité déplorable

Troy Hunt, expert en sécurité, explique à Motherboard qu’à part la brèche exploitée par le pirate, il a également découvert un certain nombre de mauvaises pratiques de sécurité lors d’un examen rapide des sites de la Vtech. Par exemple, ils n’utilisent jamais de navigation sécurisée (https) et transmettent les informations personnelles, comme des mots de passe, sans aucune protection. Selon Troy Hunt, Vtech devrait avant tout prendre au sérieux les règles de sécurité avant de s’inquiéter de la violation des données.

S’il reconnaît l’intrusion, le constructeur de jouets n’a déclaré que le début d’une enquête, sans commenter ses systèmes de sécurité. Une bien mauvaise publicité à l’approche des fêtes de fin d’année.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire