Die Lern-Computer des Spielzeugherstellers VTech sind auch in Deutschland weit verbreitet. Doch nun herrscht Alarm in deutschen Kinderzimmern – und bei den Eltern. Denn die auf Vtech-Servern gespeicherten Profildaten von mehreren Hunderttausend Kindern aus Deutschland fielen Hackern in die Hände. Vtech räumte bereits vor einigen Tagen ein, dass Hacker wohl am 14. November 2015 Zugriff auf Kundenprofile erlangt haben. Am 24. November informierten Journalisten Vtech von dem Hackerangriff. Das Unternehmen hat jetzt die Zahl der betroffenen Kinder und Eltern noch einmal deutlich in die Höhe geschraubt. Hacker konnten anscheinend über eine SQL-Injection in die Datenbank von Vtech eindringen und dort Rootrechte übernehmen. Daraufhin hatten der oder die Angreifer vollen Zugriff auf die Inhalte der Datenbank.
Über elf Millionen Datensätze weltweit erbeutet Weltweit seien fast 6,4 Millionen Kinder-Profile mit Angaben zu Vorname, Geschlecht und Geburtsdatum betroffen, wie die Nachrichten-Webseite Motherboard berichtet. Dazu kommen noch über 4,8 Millionen angehängte Eltern-Konten (mit Angaben wie Mail-Adresse, verschlüsselte Passwörter, Sicherheitsfrage, Postanschrift, IP-Adressen und Downloadlisten). Rund 900.000 Datensätze aus Deutschland betroffen Vtech zufolge sind 390.985 Eltern-Konten und 508.806 Kinder-Profile aus Deutschland in die Hände der Angreifer gefallen. Die meisten gestohlenen Profile stammen aber von Nutzern aus den USA. Laut Vtech sollen aber keine Kreditkartendaten betroffen sind. Derzeit werde Vtech zufolge noch überprüft, ob die Angreifer auch Fotos von Kindern und Chat-Protokolle erbeuten konnten. Die Fotos seien laut Vtech aber in jedem Fall verschlüsselt. Sicherheitsexperten bezweifeln allerdings, ob Vtech dafür eine ausreichend starke Verschlüsselung gewählt habe. Zudem sollen die Angreifer auch die Sicherheitsfragen samt Antworten zum Zurücksetzen der Passwörter unverschlüsselt erbeutet haben. Sicherheitsexperten befürchten, dass die Hacker mit Hilfe der gestohlenen Daten die Adressen der Kinder rekonstruieren können. Aus den erbeuteten Mailadressen samt Sicherheitsfragen ergibt sich zudem die Gefahr, dass Angreifer mit diesen Daten versuchen könnten, die Mailkonten der Eltern zu knacken. Falls dort die gleichen Fragen und Antworten zum Zurücksetzen der Passwörter benutzen werden.
Hier können sich Eltern (ein klein wenig) informieren Vtech hat hier eine englischsprachige Informationsseite zu dem Datendiebstahl veröffentlicht. Zudem gibt es eine englischsprachige FAQ. Kunden aus Deutschland sollen sich mit Fragen an diese Mailadresse wenden: downloadmanager@vtech.de. Vtech hat seinen Firmensitz in Hongkong. Eine deutsche Niederlassung hat Vtech in Filderstadt in Baden-Württemberg
Auf der deutschen Webseite des Unternehmens fehlt jeglicher Hinweis auf das Desaster. Die deutsche Pressestelle ist unter der dort angegebenen Mailadresse nicht erreichbar, eine Telefonnummer für Presseanfragen nennt Vtech nicht.