VTech, le fabricant chinois de jouets, comme des tablettes, des téléphones, des appareils photo, des baby phones, s’est fait voler les informations personnelles de 5 millions de parents et 200 000 enfants.
Ces données incluent les noms, prénoms, adresses de courriels, mots de passes et adresses postales. Les données des enfants comptent aussi leur sexe et leur date d’anniversaire.
Pire encore, il est possible de lier les enfants à leurs parents, ce qui expose leur pleine identité, ainsi que l’adresse où ils vivent.
D’après Motherboard, qui serait en contact avec le pirate, les serveurs de VTech exposent sans protection d’autres données sensibles. Dans le cadre de l’application Kid Connect, qui permet aux parents d’utiliser leur smartphone pour communiquer avec leur enfant équipé d’une tablette VTech, l’entreprise a conservé un journal des conversations enfants parents. Tout comme les échanges de photos. Il y aurait aussi des fichiers vocaux de communication.
Au total, plus de 190 gigaoctets de photos et de données, dont on se demande bien pourquoi elles sont stockées sur les serveurs de VTech, ont été dérobés. Les serveurs de cette entreprise au chiffre d’affaires de près de deux milliards d’euros par an, sont donc un véritable paradis pour pédophile.
Une simple injection SQL aurait suffi pour obtenir un accès aux bases de données de VTech. Une technique efficace bien que très simple. Protéger un serveur de base de données contre ce genre d’attaque est l’une des bases les plus primaires de la sécurité.
Troy Hunt, un spécialiste de la sécurité contacté par Motherbard, a aussi découvert lors d’un examen de routine que les failles de sécurité chez VTech sont très nombreuses : l’entreprise n’utilise jamais les connexions sécurisées SSL, même lors de la transmission des mots de passe, elle stocke les mots de passe avec un chiffrement MD5 trivial à déchiffrer, les réponses des questions pour la récupération des mots de passes ne sont pas chiffrées, et ainsi de suite. Pour lui, il n’y aurait même pas besoin d’intrusion pour voler des données, tant les bases de données et les interfaces de programmation sont perméables.
Le fabricant de jouets a désactivé les serveurs d’applications compromises comme « mesure de prévention » comme il informe par communiqué de presse.