Le fabricant de jouets chinois VTech est victime d’un piratage : les données personnelles de 5 millions de comptes ont été volées ainsi que des informations sur environ 200 000 enfants.
VTech est victime de l’un des plus gros volS de données que l’on a pu constater ces dernières années : 5 millions d’informations des comptes d’utilisateurs ont été dérobées. Cela inclut noms, adresses mail, mots de passe et adresses physiques de personnes qui ont acheté des jouets VTech à des enfants. Ces derniers ne sont pas épargnés non plus : 200 000 informations comprenant le prénom, le sexe et la date d’anniversaire sont aussi tombées aux mains du pirate.
Selon Motherboard, qui rapporte l’information, il est aussi possible d’établir un lien entre un enfant et le compte d’un adulte. Ce qui induit qu’il est possible dans certains cas de trouver le nom de l’enfant et son adresse physique… Le vol a été confirmé par le fabricant chinois qui explique que « le 14 novembre, une personne a eu accès aux informations de clients VTech dans la base de données de la boutique d’applications en ligne Learning Lodge », explique un porte-parole de la marque.
Sécurité proche de zéro ?
Par la suite, VTech a diffusé un communiqué confirmant le piratage, sans toutefois donner beaucoup d’informations. Contacté par Motherboard, le pirate en question n’a pas l’intention de vendre les données, précisant qu’il y a eu accès via une injection SQL lui permettant de disposer d’un accès complet à la base de données avec les pleins droits administrateur. « C’était plutôt facile, affirme ledit hacker. Quelqu’un avec de mauvaises intentions pourrait facilement récupérer les données ».
Les mots de passe quant à eux n’étaient pas stockés en clair, mais chiffrés avec l’algorithme MD5, cassé voilà plusieurs années. De plus, le pirate affirme que les questions secrètes pour retrouver un mot de passe sont en clair ; ce qui peut faciliter la tâche pour retrouver facilement un mot de passe.
Source : linformaticien.com