I nomi, gli indirizzi di casa e l’email, domande e risposte per la sicurezza e altre informazioni di milioni di famiglie sono state rubate dall’archivio di un grande produttore di giocattoli. Tra le informazioni sensibili anche le date di nascita, il nome e il sesso di 250.000 bambini.
VTech, l’azienda che ha subito la violazione, ha ammesso che il 14 novembre il suo sistema informatico è stato compromesso e che pirati sono riusciti ad accedere a dati del Learning Lodge app store, negozio online per lo scaricamento di giochi, libri, musica e altri elementi legati ai giocattoli prodotti da questa azienda.
Con sede a Hong Kong, l’azienda in questione è specializzata nella produzione di giocattoli tipo computer per bambini in età prescolare che li incoraggiano all’uso di internet.
Stando a quanto riporta The Register, sono stati prelevati i dati relativi a 4.8 milioni di clienti, incluse le password dell’account cifrate usando l’algoritmo di hashing MD5, noto per alcune debolezze intrinseche se non usato con le dovute cautele.
A essere a rischio sono i dati di circa cinque milioni di famiglie di Stati Uniti, Canada, Regno Unito, Irlanda, Francia, Germania, Spagna, Belgio, Olanda, Danimarca, Lussemburgo, America Latina, Hong Kong, Cina, Australia e Nuova Zelanda. Secondo quanto dichiarato dal produttore gli hacker sono riusciti a prelevare informazioni di contatto (email, indirizzo, password, ecc.) ma non i dati delle carte di credito.
Le password sono di grande valore per i cybercriminali; partendo dalle mail e dalle password degli utenti è infatti possibile accedere ai servizi più diversi come Facebook, Yahoo, Gmail, Twitter e LinkedIn, ecc. Un sondaggio condotto qualche tempo addietro da B2B International, ha evidenziato che il 39% degli utenti utilizza la stessa combinazione username/password per tutti gli account, un’abitudine pericolosa, soprattutto considerando che su internet si eseguono transizioni bancarie.
Come sempre in questi casi gli acquirenti di questi giocattoli dovrebbero cambiare subito le password, anche quelle di servizi diversi se abbiamo l’abitudine di usare sempre le stesse, assicurandosi che ogni account online sia protetto da una password diversa. È possibile superare il problema di ricordare troppe password sfruttando software dedicati (es. 1Password che esiste sia per Mac, sia per iOS). Sfruttare la stessa identica password più volte e per più account è un lusso che non è più possibile permettersi.