Spielzeug-Hersteller VTech Profile von 509.000 Kindern in Deutschland erbeutet

Der Datendiebstahl beim Spielzeughersteller VTech ist deutlich größer als bisher angenommen: Es wurde auf die Profile von Millionen Kindern zugegriffen. Betroffen sind zum Beispiel die Nutzer von Storio-Lerntablets.
VTech-Produkte (in einem Spielzeuggeschäft in Hongkong): Profile von 6,4 Millionen Kindern betroffen

VTech-Produkte (in einem Spielzeuggeschäft in Hongkong): Profile von 6,4 Millionen Kindern betroffen

Foto: TYRONE SIU/ REUTERS

Der Lernspielzeug-Hersteller VTech aus Hongkong hat eingeräumt, dass wesentlich mehr Datensätze seiner Kunden entwendet wurden als bislang bekannt. Weltweit sind allein fast 6,4 Millionen Kinder-Profile betroffen. Hinzu kommen über 4,8 Millionen anhängende Eltern-Konten, wie die Firma aus Hongkong am Mittwoch mitteilte. Die Kinder-Profile enthielten den Namen, das Geschlecht und das Geburtsdatum, hieß es.

Unbekannte Angreifer hatten sich im November Zugang zu VTech-Datenbanken verschafft. In Deutschland seien knapp 391.000 Eltern-Konten und rund 509.000 Kinder-Profile betroffen, erklärte das Unternehmen.

Der Großteil des Datenlecks treffe die USA mit 2,2 Millionen Eltern- und fast 2,9 Millionen Kinder-Accounts. Am Montag war zunächst die Rede davon, dass 200.000 Accounts von Kindern betroffen seien. Bereits am Dienstag deutete sich an, dass das Datenleck deutlich größer ausfallen könnte.

Die Eltern-Konten enthalten laut VTech E-Mail-Adressen, verschlüsselte Passwörter, IP-Adressen, Postanschriften und die Liste bisheriger Downloads. Kreditkartendaten würden nicht gespeichert. Auch die Namen und Geburtsdaten von Kindern seien dort gespeichert.

Lassen sich Adressen der Kinder herausfinden?

Das Onlinemagazin "Motherboard" , das zuerst über den Vorfall berichtet hatte, zitierte IT-Sicherheitsexperten Troy Hunt mit der Einschätzung, die Daten ließen sich so verknüpfen, dass sich die Adressen der Kinder herausfinden lassen. Es gibt bislang keinen Hinweis darauf, dass die Hacker die Daten veröffentlichen wollen.

Der Bericht, wonach die Angreifer auch Fotos von Kindern und Protokolle von Chats mit ihren Eltern abgreifen konnten, werde geprüft, erklärte VTech. Man könne das zunächst nicht bestätigen. Auf jeden Fall seien die Bilder per Verschlüsselung geschützt, betonte das Unternehmen.

"Motherboard" und andere Tech-Blogs schreiben allerdings, dass die Daten schlecht gesichert gewesen seien. So habe VTech die Passwörter nur schwach verschlüsselt und die Sicherheitsfragen samt der zugehörigen Antworten im Klartext gespeichert. Auch nutze der Hersteller für die Datenübertragung keine SSL-Verschlüsselung.

VTech hat seinen Hauptsitz in Hongkong, ist aber auch in Europa aktiv. Seit 1992 hat die Firma eine Niederlassung in Filderstadt in Baden-Württemberg. Das Unternehmen verkauft zum Beispiel  Storio-Lerntablets für Kinder zwischen vier und neun Jahren sowie kleine Lerncomputer für unterwegs, sogenannte MobiGos.

Anmerkung: In einer früheren Version dieses Artikels hieß es in der Überschrift, 590.000 Profile von Kindern in Deutschland seien betroffen. Es muss 509.000 heißen. Wir haben die Zahl korrigiert und bitten, den Fehler zu entschuldigen.

fab/dpa