Článek
Hackeři databázi napadli 14. listopadu, firma informaci o útoku zveřejnila s dvoutýdenním zpožděním a zároveň pozastavila provoz shopu. Společnost se sídlem v Hong Kongu operuje po celém světě, včetně České republiky.
Útočníci se mohli dostat k obecným informacím z uživatelských profilů zákazníků, tedy jménům, e-mailovým adresám, heslům, kontrolním otázkám k heslům a jejich odpovědím, přístupovým IP adresám a historii stahování z webu.
„Ihned po zjištění neoprávněného přístupu jsme provedli důkladné šetření, které zahrnovalo komplexní kontrolu napadeného místa a provedli jsme opatření na obranu proti jakýmkoli dalším útokům,“ ujistili zástupci napadené společnosti. Zároveň vyvrátili informace o možném zneužití platebních karet, z nichž byly hrazeny nákupy na Learning Lodge App Store.
„Naše zákaznická databáze neobsahuje žádné informace o kreditních kartách a VTech nezpracovává ani neukládá žádná data o kreditních kartách zákazníků na své stránce Learning Lodge,“ uvedla firma. VTech při elektronických platbách přesměrovává klienty na platební brány třetích stran, které jsou podle ní naprosto bezpečné a únik dat se jich nijak nedotkl.
Vsunutí kódu přes neošetřený vstup
Podle profesora Alana Woodwarda, experta na kybernetickou bezpečnost a skrytou komunikaci ze Surreyské univerzity bylo průlomu do zákaznické databáze VTech pravděpodobně dosaženo prostřednictvím SQL injection, tedy vsunutím kódu přes neošetřený vstup a realizováním vlastního, pozměněného SQL dotazu.
Pokud se podle Woodwarda tato teorie potvrdí, bude mít VTech co vysvětlovat, protože tento druh útoku, kdy se škodlivý kód vsune do aplikace a jeho prostřednictvím hackeři získají přístup a kontrolu nad databází, využívá slabá místa, která by neměla na webu společnosti vůbec existovat. „To je naprosto endemické porušení bezpečnostních pravidel, které je třeba zastavit,“ prohlásil profesor v rozhovoru pro BBC.
„Pokud by to znamenalo vzbudit u těchto společností smysl pro bezpečnost prostřednictvím vysokých pokut, budiž. Je třeba to brát vážně a patřičné osoby hnát k odpovědnosti,“ dodal.
Žebříček vede Adobe
Světový žebříček kybernetických útoků na spotřebitelské databáze vede společnost Adobe, která v roce 2013 ohlásila průnik k datům 38 milionů zákazníků.
Společnost VTech uklidňuje své klienty, že její databáze neobsahovala žádné osobní identifikační údaje, tedy ani čísla řidičských průkazů nebo sociálního pojištění.
„Vyšetřování pokračuje, a my mezitím hledáme způsoby, jak posílit zabezpečení naší databáze Learning Lodge. Zavázali jsme se k ochraně informací o našich zákaznících i jejich soukromí, a chceme tak zabránit jakýkoli takovým mimořádným událostem kdykoli v budoucnu,“ uvedla firma, která je největším výrobcem elektronických učebních pomůcek na světě.