Οι εταιρείες διακανονισμού VTech προειδοποιούν για να διατηρήσουν ασφαλή τα δεδομένα που καλύπτονται από COPPA

Δεν μπορούμε να εγγυηθούμε την αποτελεσματικότητά της για να πάρουμε τα παιδιά να τρώνε τα λαχανικά τους ή να τελειώσουν την εργασία τους. Αλλά υπάρχει μια περίσταση στην οποία μια μαμά ή ένας μπαμπάς “γιατί το είπα. . . . ” είναι ο νόμος της γης. Όταν πρόκειται για την ηλεκτρονική συλλογή προσωπικών πληροφοριών από παιδιά κάτω των 13 ετών, το Κανόνας Προστασίας Προστασίας Προσωπικών Δεδομένων Παιδιών (COPPA) θέτει τους γονείς που είναι υπεύθυνοι.

Μια αγωγή FTC εναντίον της VTECH, ένα μεγάλο όνομα στα προϊόντα ηλεκτρονικής μάθησης για το Swingset Set, ισχυρίζεται ότι η εταιρεία παραβίασε την COPPA και το νόμο FTC, μεταξύ άλλων, δεν λαμβάνουν εύλογα μέτρα για την προστασία ευαίσθητων δεδομένων που συλλέγονται από τα παιδιά. Μια ιδιαίτερη ανησυχία σε αυτήν την περίπτωση – το FTC“Το S που ασχολείται με τα συνδεδεμένα παιχνίδια – είναι ο ισχυρισμός ότι οι παραβιάσεις της VTech ήρθαν στο φως μόνο αφού ένας χάκερ έκλεψε προσωπικά στοιχεία για τα παιδιά και τους γονείς που χρησιμοποίησαν τα προϊόντα της εταιρείας.

Πρώτον, κάποιο υπόβαθρο. Η VTech λειτουργεί Learning Lodge, μια ηλεκτρονική πλατφόρμα που επιτρέπει στους πελάτες να κατεβάσουν εφαρμογές που κατευθύνονται από παιδιά, παιχνίδια, ηλεκτρονικά βιβλία κλπ., Στις συσκευές που συνδέονται με το VTECH. Περισσότεροι από 2 εκατομμύρια γονείς δημιούργησαν μαθησιακούς λογαριασμούς για περίπου 3 εκατομμύρια παιδιά. Μια δημοφιλής εφαρμογή είναι το Kid Connect, το οποίο επιτρέπει στα παιδιά στέλνω μηνύματα κειμένου, αρχεία ήχου, φωτογραφίες κ.λπ., σε επαφές που εγκρίθηκαν από τη μαμά ή τον μπαμπά. Μόλις εγγραφεί, τα παιδιά μπορούν επίσης να δημοσιεύσουν μηνύματα σε ένα ηλεκτρονικό πίνακα ανακοινώσεων προσβάσιμο σε άτομα της λίστας επαφών που έχει αιτιολογηθεί με γονέα.

Από τουλάχιστον τον Ιούλιο του 2013 έως τον Νοέμβριο του 2015, αν ένα παιδί ήθελε να χρησιμοποιήσει το Kid Connect, ένας γονέας έπρεπε να εγγραφεί στο Learning Lodge. Η εγγραφή απαιτούσε πολλά προσωπικά στοιχεία: το πλήρες όνομα του γονέα, τη φυσική διεύθυνση, το ηλεκτρονικό ταχυδρομείο, τον κωδικό πρόσβασης και ένα μυστικό Q & A για την ανάκτηση κωδικού πρόσβασης, καθώς και το όνομα του παιδιού, την ημερομηνία και το έτος γέννησης και το φύλο. Οι γονείς θα μπορούσαν στη συνέχεια να δημιουργήσουν έναν λογαριασμό Kid Connect, υποβάλλοντας μια διεύθυνση ηλεκτρονικού ταχυδρομείου, το όνομα χρήστη και τον κωδικό πρόσβασης ενός γονέα, το όνομα χρήστη ενός παιδιού και μια φωτογραφία προφίλ τόσο του γονέα όσο και του παιδιού. (Επιπλέον, η VTECH προσέφερε μια πλατφόρμα που βασίζεται στο Web που ονομάζεται Planet VTech. Απαιτούσε από τους γονείς να υποβάλουν επίσης σημαντικά προσωπικά στοιχεία, συμπεριλαμβανομένου του ονόματος του παιδιού, του ονόματος σύνδεσης, του κωδικού πρόσβασης και της πλήρους ημερομηνίας γέννησης.)

Πού ο FTC ισχυρίζεται ότι η VTech πήγε στραβά; Πρώτον, η πολιτική απορρήτου της VTech ανέφερε ότι όταν οι γονείς εισάγουν προσωπικά στοιχεία ως μέρος της διαδικασίας εγγραφής για την εκμάθηση Lodge, Kid Connect ή Planet VTech, “στις περισσότερες περιπτώσεις” ότι οι πληροφορίες “θα μεταδοθούν κρυπτογραφημένα για να προστατεύσουν την ιδιωτική σας ζωή χρησιμοποιώντας τεχνολογία κρυπτογράφησης HTTPS. « Ωστόσο, σύμφωνα με την FTC, τα δεδομένα δεν κρυπτογραφήθηκαν, καθιστώντας την απαίτηση της VTech ψευδής σύμφωνα με το νόμο FTC.

Η καταγγελία χρεώνει επίσης την VTECH με παραβίαση συγκεκριμένων διατάξεων COPPA. Σύμφωνα με την FTC, η VTech απέτυχε να παράσχει επαρκή ειδοποίηση στον ιστότοπό της σχετικά με τις πληροφορίες που συλλέγει από τα παιδιά, πώς χρησιμοποιεί αυτές τις πληροφορίες και τις πρακτικές γνωστοποίησης. Επιπλέον, η VTech απέτυχε να παράσχει άμεση ειδοποίηση σχετικά με τις πολιτικές της στους γονείς.

Η αγωγή ισχυρίζεται επίσης ότι όταν οι άνθρωποι ίδρυσαν έναν λογαριασμό Kid Connect, η VTech δεν διέθετε μηχανισμό συμβατή με το COPPA για να επαληθεύσει ότι το άτομο που καταγράφει το λογαριασμό ήταν γονέας και όχι παιδί.

Τέλος, το άρθρο 312.8 του κανόνα απαιτεί από τις εταιρείες που καλύπτονται από την COPPA, όπως η VTECH να «δημιουργήσει και να διατηρήσει εύλογες διαδικασίες για την προστασία της εμπιστευτικότητας, της ασφάλειας και της ακεραιότητας των προσωπικών πληροφοριών που συλλέγονται από τα παιδιά». Ωστόσο, σε αυτή την περίπτωση, ένας χάκερ ήταν σε θέση να αποκτήσει απομακρυσμένη πρόσβαση στο δοκιμαστικό περιβάλλον της VTech και από εκεί κέρδισε την είσοδο στον ζωντανό ιστότοπο. Εκεί ο χάκερ άρπαξε τα πλήρη ονόματα των γονέων, τις διευθύνσεις, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, τις μυστικές ερωτήσεις και τα ονόματα χρηστών των παιδιών – τα οποία αποθηκεύτηκαν σε καθαρό, ευανάγνωστο κείμενο. Παρόλο που οι αποθηκευμένοι κωδικοί πρόσβασης και τα αρχεία ήχου των παιδιών VTech και τα αρχεία ήχου σε κρυπτογραφημένη μορφή, μια βάση δεδομένων που έχει πρόσβαση από τον χάκερ περιλάμβανε τα κλειδιά αποκρυπτογράφησης για φωτογραφίες και ήχο.

Επιπλέον, η FTC λέει ότι οι πληροφορίες αποθηκεύτηκαν έτσι ώστε οι πληροφορίες των παιδιών να συνδέονται με τις πληροφορίες των γονιών τους. Για παράδειγμα, αυτό σήμαινε ότι εάν ένα παιδί είχε υποβάλει μια φωτογραφία μέσω του Kid Connect, ο χάκερ θα μπορούσε να βρει αυτή τη φωτογραφία, μαζί με τη διεύθυνση του παιδιού. Σύμφωνα με την καταγγελία, η VTech δεν γνώριζε ότι τα προσωπικά στοιχεία είχαν αντιγραφεί από το δίκτυό της μέχρι να έρθει σε επαφή με την εταιρεία από δημοσιογράφο.

Εκτός από την αστική ποινή 650.000 δολαρίων, ο προτεινόμενος διακανονισμός περιλαμβάνει διαδικασίες για τη διασφάλιση της μελλοντικής συμμόρφωσης με την COPPA. Μια αξιοσημείωτη διάταξη: ένα ολοκληρωμένο πρόγραμμα ασφάλειας δεδομένων που υπόκειται σε ανεξάρτητους ελέγχους κάθε έναρξης για τα επόμενα 20 χρόνια.

Οι περιπτώσεις είναι ειδικά για το γεγονός, φυσικά, αλλά αξίζει να ρίξετε μια ματιά στο πού η FTC ισχυρίζεται ότι οι πρακτικές ασφαλείας της VTech έπεσαν σύντομα. Κάθε ένας από τους ισχυρισμούς περί καταγγελίας επισημαίνει μια καθιερωμένη αρχή ασφάλειας ότι οι εταιρείες που καλύπτονται από την COPPA-και άλλες επιχειρήσεις-θα πρέπει να εξετάσουν την αξιολόγηση των δικών τους διαδικασιών.

• Η καταγγελία ισχυρίζεται ότι η VTech απέτυχε να αναπτύξει, να εφαρμόσει και να διατηρήσει ένα ολοκληρωμένο πρόγραμμα ασφάλειας πληροφοριών. Εάν το πρόγραμμα της εταιρείας σας έχει απομακρυνθεί από ένα αρχείο κάπου, θυμηθείτε ότι η COPPA κάνει την ασφάλεια μια διαδικασία “ζωντανού”. Θα μπορούσε να είναι καιρός να επανεξετάσετε το πρόγραμμά σας υπό το πρίσμα των αλλαγών στην επιχείρησή σας και στο εξελισσόμενο τοπίο απειλής.
• Η καταγγελία ισχυρίζεται ότι η VTech απέτυχε να εφαρμόσει επαρκή μέτρα για τον τομέα και την προστασία του ζωντανού ιστότοπού της από το περιβάλλον δοκιμής. Αυτή η ανησυχία πρέπει να ακούγεται γνωστές στις επιχειρήσεις που ακολουθούν τα FTC Ξεκινήστε με ασφάλεια και Κολλήστε με ασφάλεια πρωτοβουλίες. Η αποτελεσματική κατάτμηση του δικτύου θα μπορούσε να βοηθήσει να σταματήσει ένα “oops” να εξελιχθεί σε ένα πλήρες “uh-oh”.
• Η καταγγελία ισχυρίζεται ότι η VTech απέτυχε να έχει σύστημα ανίχνευσης εισβολών. Εάν ο συναγερμός διαρρήκτη έπεσε στο σπίτι ή στο χώρο εργασίας σας, θα μεταβείτε σε υψηλή προειδοποίηση. Για χρόνια, οι περιπτώσεις FTC και η καθοδήγηση στις επιχειρήσεις προτείνουν παρόμοια απάντηση στην μη εξουσιοδοτημένη πρόσβαση στο δίκτυο. Οι προσεκτικές εταιρείες διαθέτουν ένα σύστημα για να τους προειδοποιήσουν για τους ψηφιακούς παραβάτες.
• Η καταγγελία ισχυρίζεται ότι η VTECH απέτυχε να παρακολουθεί τις μη εξουσιοδοτημένες προσπάθειες για την εξάλειψη των προσωπικών πληροφοριών. Θα γνωρίζατε αν ένας εισβολέας προσπάθησε να αρπάξει και να πάει στο δίκτυό σας; Υπάρχουν εργαλεία που μπορούν να σας ειδοποιήσουν όταν κάποιος προσπαθεί να μεταφέρει μεγάλα ποσά δεδομένων.
• Η καταγγελία ισχυρίζεται ότι η VTech απέτυχε Για να ολοκληρωθεί η ευπάθεια και η δοκιμή διείσδυσης για να δούμε πώς το δίκτυό του θα μπορούσε να αντέξει σε γνωστά τρωτά σημεία όπως η SQL ένεση. Δεν υπάρχει τρόπος να φτιάξετε ένα δίκτυο 100% ανθεκτικό, αλλά ως Ξεκινήστε με ασφάλεια και Κολλήστε με ασφάλεια Προτείνετε, υπάρχουν βήμα που μπορείτε να κάνετε για να προστατεύσετε ευαίσθητα δεδομένα από oldies-αλλά-baddies όπως επιθέσεις έγχυσης SQL.
• Η καταγγελία ισχυρίζεται ότι η VTech απέτυχε να εφαρμόσει εύλογη καθοδήγηση ή κατάρτιση για τους υπαλλήλους της. Οι εταιρείες συνείδησης ασφαλείας έχουν ένα μυστικό όπλο στον αγώνα για τη διαφύλαξη των ευαίσθητων δεδομένων: ένα πηγάδι-Εργατικό δυναμικό. Είτε η εταιρεία σας καλύπτεται από την COPPA, έχετε ενσωματώσει την ασφάλεια σε όλη την επιχείρησή σας; Οι υπάλληλοί σας είναι σαφείς στις προσδοκίες σας;

Η FTC διαθέτει πόρους για τον εξορθολογισμό των προσπαθειών της ασφάλειας των δεδομένων σας και της συμμόρφωσης με COPPA. Είναι η ώρα σε ένα ασφάλιστρο; Αφήστε κατά μέρος λίγα λεπτά την ημέρα για να παρακολουθήσετε ένα από τα βίντεό μας για τις επιχειρήσεις.