IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

VTech被攻击,儿童家长信息泄露(下)

发布时间:2015-12-02 13:58文章来源:未知文章作者: IT学习网点击次数:
在昨天的文章中我们提到了儿童信息泄露的源头,今天我们接着再来了解一下后续的内容 通常家长得到的记录如下,其中包括带有加密的@符号的电子邮件地址: 1 215836,foo%40bar.com,kc-im2.vtechda.com,0,2700413,2700413,USeng,2013-12-2513:55:21,NULL 然后,

/uploads/allimg/151202/135UL211-0.jpg

        在昨天的文章中我们提到了儿童信息泄露的源头,今天我们接着再来了解一下后续的内容

        通常家长得到的记录如下,其中包括带有加密的@符号的电子邮件地址:

1
215836, 'foo%40bar.com', 'kc-im2.vtechda.com', 0, 2700413, 2700413, 'USeng', '2013-12-25 13:55:21', NULL

 

        然后,它引用的子记录如下:

1
215841, 'LittleJohnny', 'kc-im2.vtechda.com', 3974296, 0, 2700413, 'USeng', '2013-12-25 13:55:23', NULL

 

        我们可以看到孩子的PARENT_ID – 2700413——返回了家长的ID。这不仅是一个父/子关系结构,这是一个真实世界的存在的关系。家长的记录可以从我前面提到的CSV文件中得到,而且其中包含了所有的值,比如地址、密码和安全问题。

        因此,它关联了父母和孩子,但幸运的是孩子的数据没有太多,只有一个父创建的用户名。然而,这些CSV文件还有一些令我们担忧的地方,如下:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
id
created_datetime
updated_datetime
parent_id
login_name
password
first_name
dob
product_code
is_avatar_created
account_level
gender
expiry_date
registration_url

 

        这五个CSV文件共有227622条记录,列分别是姓名,出生日期和性别等等。但是,它们来自哪里呢?我的意思是这些没在前面的学习小屋的视频中,还有什么VTech其他有利可图的地方吸引黑客收集这类数据?答案在于registration_url列,它包括以下值:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
www.planetvtech.com
www.lumibeauxreves.com
www.planetvtech.fr
www.vsmilelink.com
www.planetvtech.de
www.planetvtech.co.uk
www.planetvtech.es
www.proyectorvtech.es
www.sleepybearlullabytime.com
de.vsmilelink.com
fr.vsmilelink.com
uk.vsmilelink.com
es.vsmilelink.com

 

        这是从www.planetvtech.com 的77000个因子到ofes.vsmilelink.com的41个因子的降序排列。每个都托管在相同的IP地址,并具有相同的基本配置;嵌入在一个ASP.NET页的一个Flash文件。显然,他们迎合以孩子的兴趣和语言为首选项的不同人口特征。下面是最普遍的一个(顺便说一下,该域名的所有数据泄露的条目都在一个名为memberuk.csv的文件中):

 /uploads/allimg/151202/135UJ223-1.png

        下图显示了家长在该网站注册所填的条目:

 /uploads/allimg/151202/135UHJ7-2.png

        注册后会有一个确认的电子邮件,然后添加孩子的信息:

 /uploads/allimg/151202/135UMK4-3.png

        现在我们看到了姓名,出生日期和性别,这些组成了该漏洞所泄露的个人敏感信息。它接着请求一个 “公民身份证登记”可选项,我没有这个,但该模式匹配了数据库里会员文件里的PRODUCT_CODE列(60%的人的此列值是NULL)。google搜索表明,购买者可通过这个获取VTech的产品

 /uploads/allimg/151202/135UMO8-4.png

        如Cyber Rocket这样的实物产品会鼓励用户创造电子账户。这将创建凭借公民ID就在物理和电子资产之间创建了关系。

        然后我们进一步验证了上面的孩子表单数据,进入成员表观察新的记录分配的ID。下面是登录后的结果:

        返回了130460的内部标识符。转储数据成员中的最后一个编号是130446,创建于11月16日。该表具有registration_url列,说明大部分的记录来自www.planetvtech.com

        现在,这里我故意模糊处理,因为尽管VTech保证系统现在是安全的,仍然有大的漏洞,每个孩子与每一家长都相匹配。解决起来并不容易。我的建议是尽快下线ASAP直到他们能正确地解决它。你不能拿用户的数据冒险,尤其不能拿他们的孩子冒险。

        创建帐户的孩子的平均年龄只有5岁。他们有各种各样的登录名,各种父母对孩子深情的“爱称”。女孩和男孩很容易辨别,这面临严重风险。

 

        VTech的重大安全缺陷

        以上就是我们细致地使用该网站后找到的所有问题,该网站最初的目的之一就是让任何人都能轻松地获取信息,但另一方面,如果真的有人关注这一点,这就意味着该网站本身就有严重的安全缺陷或者漏洞。

        例如,任何地方都不存在SSL。所有通信都通过未加密连接,包括密码,父母的详细信息以及有关孩子的敏感信息的传输。这些天来,我们已经不止一次的争论而这是一点已经确定。这些密码会匹配许多父母的其他账户,它们本应该在传输过程中得到妥善保护。

        当然,一旦数据库中的密码被试出来,我们就知道他们没用什么比直接MD5哈希更健壮的加密方式,而且复杂的密码很少有人创建,这些可能会幸免。孩子们的密码都只是纯文本,这是肯定的,因为这又不是要攻击他们的eBay帐户或获取他们的Gmail。我敢肯定,有些人会强烈的不同意我这一点,他们会认为那些也需要被强哈希,我认为这些很容易被保护得当,它们不会给家长们带来同样的风险。

        缺乏对敏感数据的加密保护是整个错误发生的另一原因。这些安全密保问题和答案对于在各种不同的地方建立ID和个人信息是不可忽略的环节。相比之下,看看在我最近的一篇关于敲诈勒索的资料中Patreon是如何处理的;地址、出生日期等个人信息都是加密的,这样,当坏事发生时就不会那么糟糕了。

        然后还有一些真正令人担忧的事情。例如,我登录到我之前创建的planetvtech.com的LittleMary帐户时密码错误之后的响应:

/uploads/allimg/151202/135UK213-5.png

        攻击者是如何返回一个SQL语句的我还没搞清楚。我们被告知攻击点是SQL注入,若是没有这些信息,我会认为最有可能是攻击向量。之后见到了内部数据库对象和查询返回给用户的方式随机,已经毫无疑问,SQL注入漏洞太猖獗了。

        另一个猖獗的做法和近些年大家对于Flash广泛使用有关。因为HTML 5,该类安全漏洞持续呈现增长的趋势,但网站还在使用六年前就被取代的ASP.NET 2.0,(现在的是基于X-ASPNET的.NET 3或3.5),以及WCF和SOAP服务的大量使用。这并不是说安全维护出现问题了,而是,你使用的是VTech在很久以前创建的服务,然后它们就......不再维护了。

 

        总结

        作为一个有两个孩子的父亲,这让我担心曾在网上留下的痕迹。我很不高兴,有人企图得到此类数据,但是另一方面,这些数据联系的很紧密,我希望它保持这种方式。但真正令人失望的是VTech完全缺乏在数据保护措施。数据泄露并很容易被利用,这是很严重的缺点。尽管后续不良事件发生不多,但是有可能只是公司没有得到相关消息罢了;公司应当意识到安全防护的重要性,而不是把精力花费在安抚客户上。

        4.8M的家长信息现在都可以到HIBP搜索。孩子的信息没有,但我怀疑这只是多次数据被破坏,和网络黑市交易中的一次。

 

 

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://www.troyhunt.com/2015/11/when-children-are-breached-inside.html


VTech被攻击,儿童家长信息泄露(下)
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/News/anquan/148129.html

标签分类:

上一篇:上一篇:VTech被攻击,儿童家长信息泄露(上)
下一篇: 下一篇:Dridex垃圾邮件盯上了美国,英国和法国的用户
无觅关联推荐,快速提升流量