在昨天的文章中我们提到了儿童信息泄露的源头,今天我们接着再来了解一下后续的内容
通常家长得到的记录如下,其中包括带有加密的@符号的电子邮件地址:
215836, 'foo%40bar.com', 'kc-im2.vtechda.com', 0, 2700413, 2700413, 'USeng', '2013-12-25 13:55:21', NULL
然后,它引用的子记录如下:
215841, 'LittleJohnny', 'kc-im2.vtechda.com', 3974296, 0, 2700413, 'USeng', '2013-12-25 13:55:23', NULL
我们可以看到孩子的PARENT_ID – 2700413——返回了家长的ID。这不仅是一个父/子关系结构,这是一个真实世界的存在的关系。家长的记录可以从我前面提到的CSV文件中得到,而且其中包含了所有的值,比如地址、密码和安全问题。
因此,它关联了父母和孩子,但幸运的是孩子的数据没有太多,只有一个父创建的用户名。然而,这些CSV文件还有一些令我们担忧的地方,如下:
id created_datetime updated_datetime parent_id login_name password first_name dob product_code is_avatar_created account_level gender expiry_date registration_url
这五个CSV文件共有227622条记录,列分别是姓名,出生日期和性别等等。但是,它们来自哪里呢?我的意思是这些没在前面的学习小屋的视频中,还有什么VTech其他有利可图的地方吸引黑客收集这类数据?答案在于registration_url列,它包括以下值:
www.planetvtech.com www.lumibeauxreves.com www.planetvtech.fr www.vsmilelink.com www.planetvtech.de www.planetvtech.co.uk www.planetvtech.es www.proyectorvtech.es www.sleepybearlullabytime.com de.vsmilelink.com fr.vsmilelink.com uk.vsmilelink.com es.vsmilelink.com
这是从www.planetvtech.com 的77000个因子到ofes.vsmilelink.com的41个因子的降序排列。每个都托管在相同的IP地址,并具有相同的基本配置;嵌入在一个ASP.NET页的一个Flash文件。显然,他们迎合以孩子的兴趣和语言为首选项的不同人口特征。下面是最普遍的一个(顺便说一下,该域名的所有数据泄露的条目都在一个名为memberuk.csv的文件中):
下图显示了家长在该网站注册所填的条目:
注册后会有一个确认的电子邮件,然后添加孩子的信息:
现在我们看到了姓名,出生日期和性别,这些组成了该漏洞所泄露的个人敏感信息。它接着请求一个 “公民身份证登记”可选项,我没有这个,但该模式匹配了数据库里会员文件里的PRODUCT_CODE列(60%的人的此列值是NULL)。google搜索表明,购买者可通过这个获取 VTech的产品 :
如 Cyber Rocket 这样的实物产品会鼓励用户创造电子账户。这将创建凭借公民ID就在物理和电子资产之间创建了关系。
然后我们进一步验证了上面的孩子表单数据,进入成员表观察新的记录分配的ID。下面是登录后的结果:
返回了130460的内部标识符。转储数据成员中的最后一个编号是130446,创建于11月16日。该表具有registration_url列,说明大部分的记录来自 www.planetvtech.com 。
现在,这里我故意模糊处理,因为尽管VTech保证系统现在是安全的,仍然有大的漏洞,每个孩子与每一家长都相匹配。解决起来并不容易。我的建议是尽快下线ASAP直到他们能正确地解决它。你不能拿用户的数据冒险,尤其不能拿他们的孩子冒险。
创建帐户的孩子的平均年龄只有5岁。他们有各种各样的登录名,各种父母对孩子深情的“爱称”。女孩和男孩很容易辨别,这面临严重风险。
VTech 的重大安全缺陷
以上就是我们细致地使用该网站后找到的所有问题,该网站最初的目的之一就是让任何人都能轻松地获取信息,但另一方面,如果真的有人关注这一点,这就意味着该网站本身就有严重的安全缺陷或者漏洞。
例如,任何地方都不存在SSL。所有通信都通过未加密连接,包括密码,父母的详细信息以及有关孩子的敏感信息的传输。这些天来,我们已经不止一次的争论而这是一点已经确定。这些密码会匹配许多父母的其他账户,它们本应该在传输过程中得到妥善保护。
当然,一旦数据库中的密码被试出来,我们就知道他们没用什么比直接MD5哈希更健壮的加密方式,而且复杂的密码很少有人创建,这些可能会幸免。孩子们的密码都只是纯文本,这是肯定的,因为这又不是要攻击他们的eBay帐户或获取他们的Gmail。我敢肯定,有些人会强烈的不同意我这一点,他们会认为那些也需要被强哈希,我认为这些很容易被保护得当,它们不会给家长们带来同样的风险。
缺乏对敏感数据的加密保护是整个错误发生的另一原因。这些安全密保问题和答案对于在各种不同的地方建立ID和个人信息是不可忽略的环节。相比之下,看看在我最近的一篇关于敲诈勒索的资料中Patreon是如何处理的;地址、出生日期等个人信息都是加密的,这样,当坏事发生时就不会那么糟糕了。
然后还有一些真正令人担忧的事情。例如,我登录到我之前创建的planetvtech.com的LittleMary帐户时密码错误之后的响应:
攻击者是如何返回一个SQL语句的我还没搞清楚。我们被告知攻击点是SQL注入,若是没有这些信息,我会认为最有可能是攻击向量。之后见到了内部数据库对象和查询返回给用户的方式随机,已经毫无疑问,SQL注入漏洞太猖獗了。
另一个猖獗的做法和近些年大家对于Flash广泛使用有关。因为HTML 5,该类安全漏洞持续呈现增长的趋势,但网站还在使用六年前就被取代的ASP.NET 2.0,(现在的是基于X-ASPNET的.NET 3或3.5),以及WCF和SOAP服务的大量使用。这并不是说安全维护出现问题了,而是,你使用的是VTech在很久以前创建的服务,然后它们就......不再维护了。
总结
作为一个有两个孩子的父亲,这让我担心曾在网上留下的痕迹。我很不高兴,有人企图得到此类数据,但是另一方面,这些数据联系的很紧密,我希望它保持这种方式。但真正令人失望的是VTech完全缺乏在数据保护措施。数据泄露并很容易被利用,这是很严重的缺点。尽管后续不良事件发生不多,但是有可能只是公司没有得到相关消息罢了; 公司应当意识到安全防护的重要性,而不是把精力花费在安抚客户上。
4.8M的家长信息现在都可以到 HIBP搜索 。孩子的信息没有,但我怀疑这只是多次数据被破坏,和网络黑市交易中的一次。
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://www.troyhunt.com/2015/11/when-children-are-breached-inside.html