Дети и родители в Сети: история взлома сервисов VTech

9ad7d0a288bbe3feb0024f8709815b5a.jpg

Утечка данных пользователей различных сервисов из-за взлома последних — далеко не редкость, к сожалению. Стоит только вспомнить нашумевший взлом сервиса измен Ashley Medison, когда в Сеть утекли данные миллионов пользователей. Огромное количество пользователей оказались просто ботами, но это ничего не меняет — каждый из нас уязвим.

В Сеть утекают даже данные пользователей, которые следят за своими учетными записями, придумывают сложные пароли, стараются предусмотреть негативные сценарии. Но утечки все равно происходят. Причем интересный нюанс — если о безопасности данных взрослых людей следят все и всюду, то проблема защиты данных детей в Сети как-то не слишком на слуху. А проблем здесь еще больше, ведь дети не слишком хорошо ознакомлены с основами информационной безопасности. А если и да, то взломщики находят иные пути получения данных детишек. В качестве примера можно привести недавний взлом сервисов VTech (производитель детских электронных игрушек), в результате которого в Сеть утекли данные миллионов учетных записей маленьких пользователей.
Всего речь идет о 4,8 миллионах записей, включая имена, e-mail, даты рождения и т.п. Правда, здесь большая часть учеток принадлежала родителям, но около 200 тысяч — это учетные записи детей. Причем хакеры получили доступ не только к учеткам, но и к сотням тысяч фотографий и других материалов. Одним из первых пользователей, которые обнаружили взлом, стал Lorenzo Bicchierai, кто часто пишет для Motherboard. Этот пользователь решил обратиться к специалисту по информационной безопасности.

Первым шагом, который был сделан — некоторые учетные записи из всего массива данных были проверены. По некоторым электронным адресам были разосланы запросы (с объяснением ситуации), и некоторые пользователи ответили. Результат — да, однозначно, сервис Vtech был взломан.

Кстати, довольно давно уже работает сервис, уведомляющий пользователей в случае взлома. Провериться и подписаться на уведомления можно вот здесь.

6bcdeee6f8d6a467cd66fe783f3d2833.png

Так выглядит интерфейс сервиса

А это означает, что любой желающий может провести идентификацию взрослых и детей, и понять, кто родители детишек, чьи данные были «слиты» в Сеть. Более того, данные позволяют узнать место жительства большинства людей, зарегистрированных на Vtech.

Интересно, что администрация сервиса не была в курсе взлома до тех пор, пока ей не написал Лоренцо. Только после этого началась работа по ликвидации последствий взлома. Кроме того, удалось связаться и с взломщиком, который провел всю операцию. Как оказалось, он сделал это «just for fun». Данные ему были просто не нужны.

d5da7d675a4ee9b5f510598fddffc2e4.png

Вот в таком виде были получены все данные

Основные данные содержались в файле top—parent.csv, где было почти 5 млн строк. Данные пользователей следующие:

id

email

encrypted_password

first_name

last_name

password_hint

secret_question

secret_answer

email_promotion

active

first_login

last_login

login_count

free_order_count

pay_order_count

client_ip

client_location

registration_url

country

address

city

state

zip

updated_datetime

Пароли представлены вот в таком виде:

313611f738f56cb764ec9f5e519e45a6.png

А вот такие данные требовались при регистрации родителя ребенка:

426e6362aca48faabecea6471b6b9a56.png

Сама компания Vtech выпускает многие десятки моделей устрйоств для детей и их родителей, включая, например, видеоняню. Также у Vtech есть онлайн-магазин, откуда родители могут скачивать электронные книги, приложения и игры для устройств своих детей.

Хакер, взломавший сеть Vtech, сообщил, что использовалась SQL-иньекция. Взломщик получит доступ к веб-серверам и БД компании, с плным доступом.

После анализа случившегося оказалось, что взлом был только делом времени. Например, пароли были хешированы при помощи MD5, не самого сложного для взлома алгоритма, мягко говоря. Более того, вопросы для напоминания пароля были сохранены в виде обычного текста. Так что проблемы с получением или обнулением пароля не было вообще. Эту же информацию, при должном желании, можно было использовать и для попытки получить контроль над учеткой пользователя на других сервисах — Gmail или банковском аккаунте, как пример.

Хуже всего было то, что аккаунты многих детей были связаны с аккаунтами родителей, плюс указан и адрес проживания. В наше время такое отношение к хранению информации детей просто непростительно.

Как определить родителей? Да очень просто:

540d1879bbf1a36d4bd6e530299c7cf2.png

Данные по родителям выводятся вот в таком виде:

id

username

domain

ll_child_id

ll_parent_id

parent_id

country_lang

create_datetime

expired_datetime

Пример записей:

215836, 'foo%40bar.com', 'kc-im2.vtechda.com', 0, 2700413, 2700413, 'USeng', '2013–12–25 13:55:21', NULL

и запись ребенка:

215841, 'LittleJohnny', 'kc-im2.vtechda.com', 3974296, 0, 2700413, 'USeng', '2013–12–25 13:55:23', NULL

Ну, и плюс ко всему, дополнительные данные:

id

created_datetime

updated_datetime

parent_id

login_name

password

first_name

dob

product_code

is_avatar_created

account_level

gender

expiry_date

registration_url

Откуда они? С других сайтов, которые связаны с Vtech. А именно:

www.planetvtech.com

www.lumibeauxreves.com

www.planetvtech.fr

www.vsmilelink.com

www.planetvtech.de

www.planetvtech.co.uk

www.planetvtech.es

www.proyectorvtech.es

www.sleepybearlullabytime.com

de.vsmilelink.com

fr.vsmilelink.com

uk.vsmilelink.com

es.vsmilelink.com

А выглядит все достаточно миленько:

b65f2cff9eb4d56bdd6bc85270e08ec0.png

Вот так выглядит форма регистрации:

2056b2fd998957041d2b8c9c70f91702.png

Добавим аккаунт ребенка? Без проблем:

62b83326f8a8d49840fe2a9feb9e04be.png

Стоит отметить, что проблемы безопасности, озвученные выше (например, возможность за считанные секунды связать ребенка и родителя) не так и просто исправить. Они, если так можно выразиться, фундаментальные, Vtech придется переделывать все, если не заново разрабатывать свои веб-сервисы и систему аутентификации.

После того, как о взломе стало известно, родители стали возмущаться, спрашивая, зачем компании было знать адрес и все прочие данные только для того, чтобы клиенты получили возможность скачать пару электронных книг.

И это тем более странно, что Vtech не использует стандарты безопасности, давно уже ставшие обязательными. Например, нигде не используется SSL, а данные (пароли, логины) передаются в открытом виде. В общем-то, даже странно, что на сервис никто не обратил внимание ранее.

Основные проблемы безопасности Vtech


Давайте еще раз посмотрим, какие ошибки допустила компания, годовой оборот которой составляет около 2 млрд долларов США.

1. Нет SSl. Передача данных идет по открытым каналам, а данных довольно много. Это информация о родителях, пароль, логин, информация о ребенке.

2. Пароли хранятся в слегка защищенном виде, скажем так. А вот секретные вопросы уже вообще ничем не защищены, это обычный текст. Да и пароли детей также хранятся в открытом виде. Это же дети, зачем их данные защищать, да?

48cc068a0f11f4b5baa42ea1a7a00376.png

3. Отсутствие защиты от SQL-иньекций. Здесь вообще все не просто, а очень просто.

4. Повсеместное использование Flash. От этой технологии призывает отказываться даже создатель, компания Adobe. И компания такого уровня, как Vtech, давно уже могла бы это сделать, используя безопасные технологии.

Берегите себя и своих детей!

© Habrahabr.ru