Lernspielzeug-Anbieter VTech Datendiebstahl bei Kindern größer als gedacht
Der Datendiebstahl beim marktführenden Hersteller von Lerncomputern und Kinder-Tablets ist offenbar schlimmer als gedacht. Hacker erbeuteten sensible Daten von etwa 6,4 Millionen Kindern und über 4,8 Millionen Eltern. Neben Passwörtern, Namen und Geburtsdaten fielen den Datendieben möglicherweise auch Fotos in die Hände.
Unbekannte Angreifer hatten sich im November Zugang zu VTech-Datenbanken verschafft. In Deutschland seien knapp 391.000 Eltern-Konten und rund 509.000 Kinder-Profile betroffen, erklärte das Unternehmen. Der Großteil des Datenlecks treffe die USA mit 2,2 Millionen Eltern- und fast 2,9 Millionen Kinder-Accounts.
Die Eltern-Konten enthalten laut VTech E-Mail-Adressen, verschlüsselte Passwörter, IP-Adressen, Postanschriften und die Liste bisheriger Downloads. Kreditkarten-Daten würden nicht gespeichert.
Auch Bilder und Chat-Protokolle gestohlen?
Ein Medienbericht, wonach die Hacker auch Fotos von Kindern und Protokolle von Chats mit ihren Eltern abgreifen konnten, werde geprüft, erklärte VTech. Man könne das zunächst nicht bestätigen. Auf jeden Fall seien die Bilder per Verschlüsselung geschützt.
VTech schützte Kundendaten nur mangelhaft
Die von VTech eingesetzte Verschlüsselung steht jedoch massiv unter Kritik. Die Passwörter wurden einem Sicherheitsexperten zufolge nur in sogenannte MD5-Nummern umgewandelt. Die kryptisch aussehenden Ziffernfolgen lassen sich bereits seit Jahren mit einfachen Generatoren in lesbaren Text zurückverwandeln.
Bilder sind laut VTech durch die deutlich stärkere Verschlüsselung AES128 geschützt. Einer der Hacker schickte dem Technik-Magazin "Motherboard" jedoch mehrere Tausend unverschlüsselte Bilder. Dem Magazin zufolge wolle der Hacker die Daten weder veröffentlichen noch verkaufen.
Wie können sich Betroffene vor Missbrauch schützen?
VTech hat betroffene Eltern bereits per E-Mail angeschrieben. Dabei handelt es sich vor allem um Kunden, die ihr Gerät online registrierten und Spiele von VTechs Online-Plattform planetvtech bezogen.
Die gestohlenen Daten sind für Identitätsdiebe ein gefundenes Fressen. Da viele Internetnutzer ein Passwort für mehrere Online-Dienste verwenden, lassen sich mit den Daten möglicherweise auch E-Mail-Postfächer und Shopping- oder Banking-Konten kapern.
Betroffene sollten zunächst ihr Passwort für VTechs Online-Dienste, E-Mail und alle anderen Dienste ändern. Wie Sie ein sicheres Passwort erstellen und verwalten, erklären wir in diesem Video. Der Hersteller veröffentlichte zudem eine Internetseite mit den häufigsten Fragen und Antworten (englisch) zu dem Datendiebstahl.