Spielzeugfirmen-Hacker erbeuten Daten von über 500.000 Kindern aus Deutschland

Es ist einer der größten Hacks aller Zeiten, und er betrifft Menschen, dessen Persönlichkeitsrechte besonders empfindlich geschützt werden müssten: Kinder.

Wie Motherboard aufdeckte, wurden die persönlichen Daten aus den Accounts von Millionen Kindern und Eltern weltweit geleakt, nachdem ein Hacker am Wochenende in die schlecht gesicherten Datenbanken der chinesischen Firma VTech einbrach, die elektronische Kinderspielzeuge verkauft. Allein in Deutschland sind über eine halbe Million Kinderaccounts betroffen, zudem 391.000 Konten der Eltern.

Gestern musste das Unternehmen einräumen, dass das Datenleck noch viel umfangreicher war als bisher angenommen. Zuvor hatte Vtech kommuniziert, dass weltweit nur 200.000 Kinderprofile von der Datenbank kopiert worden wären. „Insgesamt sind 4.854.209 Elternkonten und 6.368.509 Kinderprofile weltweit betroffen", schreibt die Firma in einer Erklärung auf ihrer englischen Website am Dienstag. „Offenbar waren unsere Datenbanken nicht ausreichent gesichert", analysierte der weltgrößte Produzent von elektronischem Lernspielzeug und Kinderlaptops messerscharf.

In den kompromittierten Konten sind laut VTech folgende Daten gespeichert:

• Emailadressen
• Passwörter und Sicherheitsfragen
• Postanschriften
• IP-Adressen
• Name, Geschlecht und Geburtstag der Kinder.

Motherboard und der IT-Sicherheitsexperte Troy Hunt können allerdings nachweisen, dass noch viel weiter reichende Informationen unzureichend gesichert auf den Servern lagen—der Hacker hatte Zugriff zu Hunderttausenden Fotos und Sprachnachrichten, die Kinder und Eltern über den Whatsapp-ähnlichen Nachrichtendienst KidConnect austauschten. Zudem waren in den Datenbanken Chatlogs der vergangenen 30 Tage gespeichert. Aus den Daten ließen sich sogar die Adressen der Kinder ableiten, so Troy Hunt gegenüber Motherboard.

Die Firma VTech, die ihren Hauptsitz in Hong Kong hat und als der weltweit führende Hersteller für elektronische Lernspielzeuge gilt, musste einräumen, von dem Zugriff auf die schlecht gesicherten Datenbanken so lange nichts gewusst zu haben, „bis Sie uns kontaktiert haben", so die Firma in einer Email an die US-Redaktion von Motherboard. Kreditkartendaten der Kunden sind von dem Sicherheitsleck zum Glück nicht betroffen. Zum Leak der Sprachnachrichten, Chatlogs und Fotos äußerte sich die Firma nicht.

Auch vier Tage nach dem aufgedeckten Hack sind noch keinerlei Informationen für die über 500.000 betroffenen Kunden in Deutschland auf der Website verfügbar. Die deutsche Dependance des Unternehmens mit Sitz in Filberstadt war zum Zeitpunkt der Veröffentlichung nicht für eine Stellungnahme zu erreichen, da die E-Mail-Adresse der Pressesprecherin offenbar gar nicht erst registriert wurde und ins Leere läuft.

Offenbar hat der anonyme Hacker nicht vor, aus diesem massiven Datendump Profit zu schlagen und das Unternehmen zu erpressen—was leicht gewesen wäre: „Ehrlich gesagt macht es mich krank, dass ich so einfach an die Daten gekommen bin", teilte er unserem Kollegen Lorenzo Franceschi-Bicchierai per verschlüsseltem Chat mit, mit dem er die Daten zuerst teilte.

Der bekannte Sicherheitsforscher slipstream/RoL stellte bei Durchsicht des Codes mittels Reverse Engineering des Dienstes KidConnect fest, dass die Bilder der Kindergesichter zwar verschlüsselt auf den VTech-Servern gespeichert wurden, allerdings lediglich mit einer veralteten Kryptografie gesichert wurden, die spielend leicht geknackt werden kann (das Passwort für die Fotos ist im angelegten Dateinamen enthalten).

Lest auf Motherboard US: Wie VTech beim Datenschutz seiner Nutzer jämmerlich versagt hat

Dem Angreifer gelang es, die schlecht gesicherten Datenbanken des firmeninternen App Stores durch ein älteres Verfahren namens MySQL Injection zu hacken. Im App Store, der bei VTech Learning Lodge heißt, können Kinder und Eltern Musik, Spiele und Bücher für die eigenen Geräte herunterladen.

In Deutschland verkauft Vtech unter anderem elektronisches Spielzeug, Tablets und Lerncomputer, beispielsweise aus der „Storio"-Serie. Kunden aus insgesamt 15 weiteren Ländern sind ebenfalls betroffen und wurden laut VTech per Email informiert.