De aanvallers kregen bijna 5 miljoen accounts van ouders wiens kinderen VTech-speelgoed gebruiken te pakken. Beveiligingsonderzoeker Troy Hunt dook diep in de bemachtigde gegevens en schetst weer eens een lezenswaardig doch treurig plaatje van beveiligingsmiddelen die tien jaar geleden al niet toereikend waren.

Geen hack nodig

Het gaat om informatie van een online portal voor kinderen, bijvoorbeeld voor games waarin ze zich omtoveren tot cyberspionnen. Het inloggen geschiedt via http en wachtwoorden waren MD5 gehasht zonder salt, wat "bijna zinloos is voor alles behalve erg sterke wachtwoorden (die mensen zelden aanmaken) en ze hadden net zo goed niets kunnen doen", schrijft Hunt.

De portal en allerhande API's zijn dan ook zo lek, dat je geen hack nodig hebt om gegevens te bemachtigen. Verder bleek het opnieuw heel moeilijk voor een beveiligingsonderzoeker die de issues ontdekte om in contact te komen met het bedrijf, iets waar Hunt vorige maand zelf ook tegenaan liep.