Le piratage du fabricant de jouets électroniques VTech n'a pas fini de faire parler de lui, et ce alors même qu'il ébranle déjà la confiance toute relative dans la sécurité pour les objets connectés. Un piratage qui aura d'autant plus d'écho qu'il affecte des enfants.
En début de semaine, VTech a confirmé une fuite de données portant sur près de 5 millions de comptes clients (pas de données bancaires) et 200 000 profils d'enfants. Liée à la boutique d'applications Learning Lodge, une base de données compromise contenait des noms, adresses postales, adresses email, mots de passe, réponses aux questions secrètes (pour la récupération d'un mot de passe), adresses IP et l'historique des téléchargements de clients adultes.
Cette base de données comprenait également des informations sur des enfants dont leur nom, sexe et date d'anniversaire. Le site Motherboard rapporte que la fuite de données va au-delà de l'annonce de VTech, et implique notamment des dizaines de milliers de photos de parents et enfants, des messages échangés entres des parents et des enfants, et même des messages audio.
Sous couvert d'anonymat, le hacker - qui affirme ne pas vouloir publier ou vendre les données exfiltrées - explique la compromission d'un service Kid Connect permettant aux parents d'utiliser une application afin de converser avec leurs enfants via une tablette VTech.
Sa collecte sur les serveurs de VTech semble avoir été fructueuse puisqu'il précise le téléchargement pour plus de 190 Go de photos et estime qu'il y avait 2,3 millions d'utilisateurs enregistrés au service Kid Connect. Le hacker (qui ne paraît pas être black hat ; mal intentionné) a fourni des preuves de ses dires à Motherboard. " Franchement, cela m'a rendu malade d'être en mesure d'obtenir tous ces trucs. "
VTech a temporairement fermé plusieurs de ses portails et sites vulnérables, tout en assurant que des mesures ont été prises afin de se protéger contre de futures attaques.
