הפריצה לענקית הצעצועים VTech חמורה משחשבו

מתקפת הסייבר על האפליקציה של חברת הצעצועים האלקטרוניים הסינית VTech, שנחשבת כמובילה עולמית בתחום צעצועי ההתפתחות והלמידה לילדים, שעליה דווח לאחרונה, הצטיירה כחמורה ביותר, אבל האינפורמציה שממשיכה להיחשף אודות הפריצה מוכיחה שהמצב גרוע בהרבה משתואר בתחילה.

אתר Motherboard מדווח כי ההאקר שאחראי לפריצה, שהשיג מידע אישי של כמעט חמישה מיליון הורים שהם לקוחותיה של VTech ושל יותר מ-200 אלף ילדיהם, לקח בנוסף מאגר בהיקף של מאות ג'יגה-בייטים שכלל תמונות פרופיל, קבצי אודיו ויומני צ'טים, שמרביתם שייכים לילדים.

כעת סבורים, לפי הדיווחים החדשים, כי עשרות אלפי תמונות (חלקן ריקות או משוכפלות) נלקחו מהאפליקציה Kid Connect, שמאפשרת להורים לדבר עם ילדיהם באמצעות הטאבלט מתוצרת VTech. פרטי הפריצה המלאים עדיין לא ידועים. ההאקר, שיצר ביוזמתו את הקשר הראשוני עם Motherboard ודיווח על מעלליו, וששמו נותר לעת עתה חסוי – אמר לאתר שהחברה שאליה פרץ, שבסיסה בהונג קונג, "הותירה עוד דטה רגישה חשופה על שרתיה".

מדוע אוחסן כל כך הרבה מידע רגיש?

VTech טרם נענתה לבקשת Motherboard לתגובה בסוגיה הדרמתית, אלא רק אישרה את דבר הפריצה בהודעה שמסרה בתחילת השבוע, והוסיפה כי היא השעתה מיידית את פעולתם של מספר חנויות אפליקציות ואתרי אינטרנט בתגובה לתקרית החמורה.

על אף שהמידע הגנוב לא כלל מספרי כרטיסי אשראי או ביטוח לאומי, יש מי שהחלו תוהים לאיזו מטרה שימרה VTech מאגר מידע שכזה על שרתיה מלכתחילה, וכן מדוע אחסנה ענקית המשחקים הסינית כל כך הרבה מידע רגיש בדרך כה לא זהירה.

עם היוודע דבר הפריצה גינה מארק נוניקהובן, סגן נשיא חברת אבטחת המידע טרנד מיקרו (Trend Micro) את VTech על "תגובתה הלא מתקבלת על הדעת". בתגובה לחשיפת המקרה כתב נוניקהובן בפוסט שפרסם בלינקדאין (LinkedIn): "אל תאספו דטה, כי הדבר עלול לשמש מישהו בזמן כלשהו", והוסיף כי "התנהגות כזו פשוט חושפת חברות לסיכון מיותר".