https://static.jiayezz.com/e9/363a520b8a165e888f44f428fd956b

香港玩具制造商VTech 此前被卷入一次大型黑客事件,成千上万的家长和孩子的个人数据被泄露,包括他们的姓名,家庭住址,甚至图片和聊天记录。这就产生了两个问题:背后的攻击者是谁?他们为什么要这样做?

在11月初有一名不愿意透露身份的黑客通过网络联系到我,他想告诉我一些有趣的数据,那是他在一家制造儿童平板电脑的公司的服务器中找到的。黑客表示,这家公司的安全性令人发指,对于用户来说,公司是有罪的。

黑客后来透露,这家公司就是VTech,并且他展示了一部分他获取到的数据,之后我将这些数据转给了安全专家Troy Hunt,以便他分析这些数据,并且帮助受害者了解哪些数据被泄露,并采取相应措施。

“我只是想要帮助修复这些问题。”

从一开始,黑客就向我明确表示,公布这些数据或者出售这些数据从来都不是他的本意。然而,直到周二,黑客一直保持沉默。

但在我们的独家专访中,黑客最后向我们解释了他为什么要侵入VTech公司的服务器并且公开那些数据,他是想要给该公司在安全措施方面的不足敲个警钟。

事实证明,这一切都开始于“两个月前”。黑客说它偶然间在一个名叫Thread的论坛发现了针对Innotab的破解讨论,这是VTech为孩子们生产的一款平板电脑。那个论坛有一群活跃的黑客喜欢倒腾平板电脑,例如其中一个成员能够在平板电脑上安装并运行上世纪90年代的经典游戏Doom。

Thread论坛上,成员们讨论了VTech用来管理所有产品所使用的网络服务。

这让黑客感到好奇。在接下来的几周内,他浏览了VTech的相关网站planetvtech.com。他注意到网站使用了Flash,并且有一个登录框。然后他很快就发现了该网站存在一个漏洞,他使用了一种古老但非常有效的黑客技术,SQL注入。

黑客很快就获得了服务器的最高管理权限,也就是root权限,他意识到他可以做任何他想要做的事。

黑客回忆起过去,“我很容易就获得了root权限,之后我能发现什么呢?”

之后他开始收集信息,并进一步对VTech做渗透。他发现了一些数据。黑客说,他发现了两个数据库,其中包含数以百万计的父母以及成千上万的儿童的个人数据。

“当我拖下来数据库后,我意识到问题的严重性。”,他在加密聊天中这样告诉我。

http://p1.qhimg.com/t01e5bba05d3afc99a1.jpg

他决定将这些东西告诉记者,而不是VTech公司,因为他觉得公司并不会听他的,反而会想办法掩盖真相,因此他联系到了我。同时,根据他在VTech的服务器上看到的,安全性不堪一击。他担心其他人可能已经获得了这些数据。

“所有证据都表明除了VTech公司之外,我并不是唯一一个能够获得这些数据的人。”,他说道。

这位黑客并没有想要出售这些数据从而牟利,因为这在他看来是“不道德的”。

“虽然数据库中并没有我的资料,但因为它涉及到了相当多数量的儿童”,他说,“我只是想要帮助修复这些问题。”

“当我拿到数据库之后,我意识到了问题的严重性。”

在通过我们提醒Vtech公司这些数据泄露的风险后,VTech在上周五公开承认了这一事件。这一消息通过世界各地主要的新闻出版物很快传播,包括英国广播公司,美国有线电视新闻网,《纽约时报》,甚至是电视新闻节目早安美国。“我希望外接尽可能多的关注这一事件”,黑客说道,他认为这样可以督促公司尽快修复问题,并且提高这方面的意识。

不过,黑客还说,“肯定还有很多潜在问题未被发现”,他也表示在VTech公司服务器重新上线后他会继续去寻找漏洞。(该公司在确认时间之后迅速的将几个站点和服务器做了离线处理)

另外,黑客也说道,它可能会站移到一个新的目标,“可能是VTech的竞争对手,我不确定。”

文章原文链接:https://www.anquanke.com/post/id/83043