转载

VTech被攻击，儿童家长信息泄露（下）

在昨天的文章中我们提到了儿童信息泄露的源头，今天我们接着再来了解一下后续的内容

通常家长得到的记录如下，其中包括带有加密的@符号的电子邮件地址：

215836, 'foo%40bar.com', 'kc-im2.vtechda.com', 0, 2700413, 2700413, 'USeng', '2013-12-25 13:55:21', NULL

然后，它引用的子记录如下：

215841, 'LittleJohnny', 'kc-im2.vtechda.com', 3974296, 0, 2700413, 'USeng', '2013-12-25 13:55:23', NULL

我们可以看到孩子的PARENT_ID – 2700413——返回了家长的ID。这不仅是一个父/子关系结构，这是一个真实世界的存在的关系。家长的记录可以从我前面提到的CSV文件中得到，而且其中包含了所有的值，比如地址、密码和安全问题。

因此，它关联了父母和孩子，但幸运的是孩子的数据没有太多，只有一个父创建的用户名。然而，这些CSV文件还有一些令我们担忧的地方，如下：

id created_datetime updated_datetime parent_id login_name password first_name dob product_code is_avatar_created account_level gender expiry_date registration_url

这五个CSV文件共有227622条记录，列分别是姓名，出生日期和性别等等。但是，它们来自哪里呢？我的意思是这些没在前面的学习小屋的视频中，还有什么VTech其他有利可图的地方吸引黑客收集这类数据？答案在于registration_url列，它包括以下值：

www.planetvtech.com www.lumibeauxreves.com www.planetvtech.fr www.vsmilelink.com www.planetvtech.de www.planetvtech.co.uk www.planetvtech.es www.proyectorvtech.es www.sleepybearlullabytime.com de.vsmilelink.com fr.vsmilelink.com uk.vsmilelink.com es.vsmilelink.com

这是从www.planetvtech.com 的77000个因子到ofes.vsmilelink.com的41个因子的降序排列。每个都托管在相同的IP地址，并具有相同的基本配置；嵌入在一个ASP.NET页的一个Flash文件。显然，他们迎合以孩子的兴趣和语言为首选项的不同人口特征。下面是最普遍的一个（顺便说一下，该域名的所有数据泄露的条目都在一个名为memberuk.csv的文件中）：

VTech被攻击，儿童家长信息泄露（下）

下图显示了家长在该网站注册所填的条目：

VTech被攻击，儿童家长信息泄露（下）

注册后会有一个确认的电子邮件，然后添加孩子的信息：

VTech被攻击，儿童家长信息泄露（下）

现在我们看到了姓名，出生日期和性别，这些组成了该漏洞所泄露的个人敏感信息。它接着请求一个 “公民身份证登记”可选项，我没有这个，但该模式匹配了数据库里会员文件里的PRODUCT_CODE列（60％的人的此列值是NULL）。google搜索表明，购买者可通过这个获取 VTech的产品：

VTech被攻击，儿童家长信息泄露（下）

如 Cyber Rocket 这样的实物产品会鼓励用户创造电子账户。这将创建凭借公民ID就在物理和电子资产之间创建了关系。

然后我们进一步验证了上面的孩子表单数据，进入成员表观察新的记录分配的ID。下面是登录后的结果：

返回了130460的内部标识符。转储数据成员中的最后一个编号是130446，创建于11月16日。该表具有registration_url列，说明大部分的记录来自 www.planetvtech.com 。

现在，这里我故意模糊处理，因为尽管VTech保证系统现在是安全的，仍然有大的漏洞，每个孩子与每一家长都相匹配。解决起来并不容易。我的建议是尽快下线ASAP直到他们能正确地解决它。你不能拿用户的数据冒险，尤其不能拿他们的孩子冒险。

创建帐户的孩子的平均年龄只有5岁。他们有各种各样的登录名，各种父母对孩子深情的“爱称”。女孩和男孩很容易辨别，这面临严重风险。

VTech 的重大安全缺陷

以上就是我们细致地使用该网站后找到的所有问题，该网站最初的目的之一就是让任何人都能轻松地获取信息，但另一方面，如果真的有人关注这一点，这就意味着该网站本身就有严重的安全缺陷或者漏洞。

例如，任何地方都不存在SSL。所有通信都通过未加密连接，包括密码，父母的详细信息以及有关孩子的敏感信息的传输。这些天来，我们已经不止一次的争论而这是一点已经确定。这些密码会匹配许多父母的其他账户，它们本应该在传输过程中得到妥善保护。

当然，一旦数据库中的密码被试出来，我们就知道他们没用什么比直接MD5哈希更健壮的加密方式，而且复杂的密码很少有人创建，这些可能会幸免。孩子们的密码都只是纯文本，这是肯定的，因为这又不是要攻击他们的eBay帐户或获取他们的Gmail。我敢肯定，有些人会强烈的不同意我这一点，他们会认为那些也需要被强哈希，我认为这些很容易被保护得当，它们不会给家长们带来同样的风险。

缺乏对敏感数据的加密保护是整个错误发生的另一原因。这些安全密保问题和答案对于在各种不同的地方建立ID和个人信息是不可忽略的环节。相比之下，看看在我最近的一篇关于敲诈勒索的资料中Patreon是如何处理的；地址、出生日期等个人信息都是加密的，这样，当坏事发生时就不会那么糟糕了。

然后还有一些真正令人担忧的事情。例如，我登录到我之前创建的planetvtech.com的LittleMary帐户时密码错误之后的响应：

VTech被攻击，儿童家长信息泄露（下）

攻击者是如何返回一个SQL语句的我还没搞清楚。我们被告知攻击点是SQL注入，若是没有这些信息，我会认为最有可能是攻击向量。之后见到了内部数据库对象和查询返回给用户的方式随机，已经毫无疑问，SQL注入漏洞太猖獗了。

另一个猖獗的做法和近些年大家对于Flash广泛使用有关。因为HTML 5，该类安全漏洞持续呈现增长的趋势，但网站还在使用六年前就被取代的ASP.NET 2.0，（现在的是基于X-ASPNET的.NET 3或3.5），以及WCF和SOAP服务的大量使用。这并不是说安全维护出现问题了，而是，你使用的是VTech在很久以前创建的服务，然后它们就......不再维护了。

总结

作为一个有两个孩子的父亲，这让我担心曾在网上留下的痕迹。我很不高兴，有人企图得到此类数据，但是另一方面，这些数据联系的很紧密，我希望它保持这种方式。但真正令人失望的是VTech完全缺乏在数据保护措施。数据泄露并很容易被利用，这是很严重的缺点。尽管后续不良事件发生不多，但是有可能只是公司没有得到相关消息罢了；公司应当意识到安全防护的重要性，而不是把精力花费在安抚客户上。

4.8M的家长信息现在都可以到 HIBP搜索。孩子的信息没有，但我怀疑这只是多次数据被破坏，和网络黑市交易中的一次。

本文由 360安全播报翻译，转载请注明“转自360安全播报”，并附上链接。

原文链接：http://www.troyhunt.com/2015/11/when-children-are-breached-inside.html

正文到此结束