Vtech
Kamera från Vtech.

Uppdatering 2/12:

Databasläckan är ännu mer omfattande än vad man först trott. Enligt nya uppgifter från Vtech har totalt 11,6 miljoner kontouppgifter stulits under dataintrånget som ägde rum i november. Av dem tillhör 6,4 miljoner barn. 

Leksakstillverkaren Vtech har utsatts för ett dataintrång och resultatet är att fem miljoner kundprofiler och tusentals bilder på barn har läckt ut.

Det Hong Kong-baserade företaget säljer surfplattor, smartklockor och annan elektronik för barn världen över. Vtech har sin egen appbutik Learning Lodge och det är ur den som någon lyckats gräva fram miljontals kunduppgifter.

Intrånget ska ha skett den 14 november och hackaren ska ha kommit över en databas med fler än 4,8 miljoner kontouppgifter – e-postadresser, namn, ip-adresser och dåligt krypterade lösenord. Dessutom ingår namn, kön och födelsedatum för över 200 000 barn.

Hackaren själv säger till Motherboard att hen också kommit över chattloggar, ljuddagböcker och tiotusentals bilder på både barn och föräldrar. Sajten har fått ta del av delar av materialet, men den läckan har inte bekräftats av Vtech själva.

Men historien stannar inte vid ett dataintrång. Säkerhetsexperten Troy Hunt, som driver sajten Have I been pwned?, har gått igenom de läckta uppgifterna och upptäckt flera allvarliga brister hos Vtech.

Läs också: Experterna ändrar sig – helt okej för småbarn att använda surfplattor

Företagets tjänster använder inte ssl/tls för att kryptera information som sänds mellan tjänsten och användarens dator. Alla användaruppgifter skickas alltså i klartext mellan barnens leksaker och Vtechs moln.

Och vad gäller lösenorden i Vtechs databas så var de visserligen krypterade, men hackaren kom över hashvärdena som skapats med en funktion som heter MD5 som har flera kända säkerhetsbrister. Den som vill ta fram ett lösenord med hjälp av de läckta uppgifterna bör kunna göra det utan större problem, konstaterar Troy Hunt.

– Den stora merparten av de här lösenorden skulle knäckas på nolltid; det här är nästan lika illa som att inte ha någon kryptering över alls, skriver han i ett blogginlägg.

Läs också: Google läskigaste uppfinning – uppkopplade gosedjur som kontrollerar ditt hem

Det finns inga uppgifter om att svenskar drabbats, men enligt Vtech har kunduppgifter från bland annat Danmark, Storbritannien och Tyskland läckt. Flera av företagets produkter går dock att köpa i svenska webbutiker.

Om du har en Vtech-leksak hemma bör du gå in på Have I been pwned? och kolla om dina uppgifter finns med i den läckta databasen.