VTech : 5 millions de comptes piratés chez le fabricant de jouets

Par , publié le
Tech La tablette VTech Storio
La tablette VTech Storio

La boutique d'applications éducative du fabricant de jouets électroniques VTech a été piratée. Des comptes d'enfants ont été exposés.

De nos jours, plus personne n’est à l’abri du piratage. Même les services qui ne nous semblent pourtant pas revêtir un intérêt fondamental pour les hackers sont exposés.

Le constructeur de jouets électroniques VTech vient de l’apprendre à ses dépens puisque selon le site Motherboard, des millions de comptes utilisateurs de la boutique d’applications du constructeur hongkongais sont tombés dans les mains d'un pirates.

5 millions de comptes exposés

Si vous n’êtes pas familier du monde VTech, le Learning Lodge est en quelque sorte l’App Store des tablettes éducatives et autres appareils photo du constructeur. Un hacker s’est introduit sur les serveurs du service pour dérober 4,8 millions de comptes contenant des données personnelles de parents et 227.000 comptes hébergeant les données d’enfants (sexe, date d’anniversaire, prénoms…).

Le hacker aurait envoyé des preuves de son « exploit » au site Motherboard en indiquant qu’il n’avait pas l’intention d’utiliser ces données à des fins frauduleuses. Mais toujours selon ce hacker, il ne faut pas crier victoire trop vite, car les données auraient déjà pu être volées par d’autres pirates tant la faille serait béante.

Un piratage simple à mettre en oeuvre

Pour s’emparer des données personnelles de 5 millions d’utilisateurs, le pirate aurait simplement procédé par injection SQL pour obtenir un accès « root » à la base de données. Une manipulation plutôt basique qui en dit long sur la qualité de la protection des serveurs de VTech qui n’utiliseraient pas de connexion sécurisée à la création de comptes.

Les données seraient en outre très simples à décoder, car simplement cryptées à l’aide de hachage MD5, une méthode de protection là encore très basique. Le hacker aurait conseillé à VTech de mettre tous les services concernés hors ligne le plus rapidement possible pour éviter de plus gros dégâts et le Learning Lodge est accessible à l’heure où nous écrivons ces lignes. Voici une pub dont se serait bien passé la marque en cette période cruciale d’achats de Noël.

Crédits photos : Tech.com

Partager cet article