Spielzeughersteller VTech Daten von 200.000 Kindern und Millionen Eltern gehackt

VTech räumt ein massives Sicherheitsproblem ein: Mitte November hat ein Unbekannter Millionen Kundendaten des Herstellers von elektronischem Lernspielzeug erbeutet. Deutsche Käufer sind betroffen - und rund 200.000 Kinder.
VTech-Produkte: Technik zum Lernen und Spielen

VTech-Produkte: Technik zum Lernen und Spielen

Foto: TYRONE SIU/ REUTERS

Unbekannte sind in das System des Lerncomputer- und Spielzeugherstellers VTech eingedrungen und haben dabei Passwörter, E-Mail-Adressen und Postanschriften erbeutet. Wie das Onlinemagazin "Motherboard"  berichtet, geht es um rund 4,8 Millionen Datensätze, die zu Eltern gehören und die einem "Motherboard"-Journalisten zugespielt wurden. Darunter die Vornamen und Geburtstage von 200.000 Kindern.

"Motherboard" zitiert den Experten Troy Hunt mit der Einschätzung, die Daten ließen sich so verknüpfen, dass sich die Adresse der Kinder herausfinden lässt. Überhaupt seien die Daten schlecht gesichert gewesen: So habe VTech die Passwörter nur schwach verschlüsselt und die Sicherheitsfragen samt der zugehörigen Antworten im Klartext gespeichert. Auch nutze der Hersteller für die Datenübertragung keine SSL-Verschlüsselung. In einem Blogpost  fasst Hunt zusammen, wie er beim Analysieren der Daten vorging.

VTech hat seinen Hauptsitz in Hongkong, ist aber auch in Europa aktiv. Seit 1992 hat die Firma eine Niederlassung in Filderstadt in Baden-Württemberg. Das Unternehmen verkauft zum Beispiel  Storio-Lerntablets für Kinder zwischen vier und neun Jahren. Die Geräte kosten 50 bis 150 Euro. Kleine Lerncomputer für unterwegs, sogenannte MobiGos, werden für 50 bis 60 Euro angeboten.

Kundendaten aus Deutschland erbeutet

Auf der Website der Firma heißt es , der Angriff habe bereits am 14. November stattgefunden - er sei aber erst am 24. November nach einem Hinweis entdeckt worden. Jemand habe sich Zugriff auf die Kundendaten des unternehmenseigenen App-Store verschafft, in dem man Lernspiele und E-Books herunterladen kann. Kreditkartendaten oder Ausweisdaten seien nicht erbeutet worden. Die betroffenen Kunden habe man am 27. November über das Datenleck informiert.

In einem FAQ zum Vorfall  heißt es, in der angezapften Datenbank seien Kundendaten unter anderem aus Deutschland, den USA und den Niederlanden gespeichert gewesen.

Ob man selbst von den Datenleck betroffen ist, lässt sich Troy Hunt zufolge auch mit der Website "Have I Been Pwned? " testen: Sie zeigt, ob die eigenen Daten Teil der VTech- oder einer anderen gehackten Datenbank gewesen sind.

mbö

Mehr lesen über

Smart Home Games und Gadgets Computersicherheit
Die Wiedergabe wurde unterbrochen.
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren