Há algumas semanas, hackers invadiram com sucesso os servidores da Vtech, fabricante de brinquedos conectados à internet, e roubaram dados pessoais de quase 5 milhões de pais e de mais de 200.000 crianças. Agora, eles revelam que também roubaram fotos de crianças.

A identidade dos hackers ainda é desconhecida, mas um deles está oferecendo detalhes ao Motherboard. O hacker invadiu servidores e roubou nomes, e-mails, senhas, históricos de download e endereços residenciais de 4.854.209 pais que compraram os dispositivos da Vtech, segundo a própria empresa; 28.105 dessas contas são da América Latina.

O lote de dados também continha os primeiros nomes, gêneros e aniversários de 6.368.509 crianças (36.716 delas são da América Latina). O Motherboard classifica o hack como “a quarto maior violação de dados de consumidor até agora”.

fotos vtech

Além disso, os hackers ganharam um acesso tão amplo aos servidores da Vtech que baixaram cerca de 190 gigabytes de fotos do serviço Kid Connect. Trata-se de um aplicativo que permite aos pais conversar com seus filhos usando um tablet da Vtech e um smartphone. As imagens em si parecem ser fotos de rosto que a Vtech incentiva seus usuários a enviar para o app.

Em certo sentido, o hack é comparável a alguém invadir o Facebook e levar toda sua informação privada e fotos. A grande diferença aqui é que estamos falando de uma empresa que fabrica dispositivos para crianças. Os tablets da Vtech conectados à internet são recomendados para crianças entre as idades de 3 e 9 anos:

A Vtech também faz uma câmera de ação (nos moldes da GoPro) e um smartwatch com câmera para a mesma faixa etária.

A notícia foi terrível o suficiente para a empresa suspender a negociação de suas ações na bolsa de valores de Hong Kong. O pesquisador de segurança Troy Hunt revelou que a Vtech não tomou nem mesmo as precauções mais básicas para proteger os dados de seus clientes – e de seus filhos. Ele escreve:

Por exemplo, não existe SSL em qualquer lugar. Todas as comunicações são em conexões não-criptografadas, e isso inclui senhas, detalhes dos pais e informações confidenciais sobre as crianças. Nos dias de hoje, estamos bem além do ponto de discutir se isso é ok – não é. Muitas dessas senhas são iguais a de outras contas dos pais, e eles merecem ser devidamente protegidos.

O hacker da Vtech diz que usou uma injeção SQL tradicional para invadir os servidores da empresa e ter acesso root. “Foi muito fácil, então alguém com motivos mais nefastos poderia facilmente obtê-los”, disse ele ao Motherboard. O hacker diz que não pretende divulgar os dados publicamente.

A Vtech incluiu em seu site uma seção perguntas e respostas sobre a invasão. Ela diz que históricos de bate-papo não são criptografados, mas os servidores só guardam mensagens que não foram entregues; e diz que fotos de perfil – inclusive de crianças – são criptografadas por AES128. Os perfis em si, no entanto, não são protegidos.

Eu me lembro que meu primeiro brinquedo favorito era o Socrates, um robô educacional fabricado – adivinha! – pela Vtech. Se meus pais tivessem uma leve suspeita de que algum pervertido poderia ter acesso ao meu brinquedo e me ver brincar, bem, eu ficaria no Lego quase que exclusivamente. Mas isso foi há muitos anos; agora, em 2015, esta é uma possibilidade mais real.

[Motherboard]

Foto por Michael/Flickr e Motherboard

Atualizado em 02/12 com informações do FAQ da Vtech