De Chinese fabrikant van educatief speelgoed VTech, waar in 2015 de gegevens van 4,8 miljoen volwassenen en ruim 6,3 miljoen kinderprofielen werden gestolen, heeft een schikking van 650.000 dollar met de Amerikaanse toezichthouder FTC getroffen.
Volgens de FTC had het bedrijf de Amerikaanse privacywetgeving voor kinderen overtreden door persoonlijke informatie van kinderen zonder duidelijke aankondiging en toestemming van de ouders verzameld, en had het geen redelijke maatregelen getroffen om de verzamelde informatie te beveiligen. De aanvaller verantwoordelijk voor de diefstal wist via SQL-injection toegang tot de VTech-servers te krijgen. SQL-injection is een beveiligingsprobleem dat al sinds 1998 bekend is.
Vervolgens downloadde de aanvaller 190 gigabytes aan foto's van kinderen en volwassen, gedetailleerde chatgesprekken tussen ouders en kinderen en audio-opnamen. Alle data was onversleuteld en in platte tekst opgeslagen. VTech had in het privacybeleid gesteld dat de informatie versleuteld zou worden opgeslagen. Naast het betalen van 650.000 dollar mag VTech ook niet meer de Amerikaanse online privacywetgeving voor kinderen overtreden en een verkeerde voorstelling geven van de beveiliging en privacyprocedures. Ook moet de speelgoedfabrikant een uitgebreid beveiligingsprogramma implementeren dat de komende 20 jaar door onafhankelijke partijen moet worden geaudit.
Deze posting is gelocked. Reageren is niet meer mogelijk.