VTech: Millionen Eltern-Konten gehackt

Die Firma Vtech ist bekannt für ihr technisches Kinder-Lernspielzeug – wie Tablet-Computer, Digital-Kameras oder MP3-Player. Außerdem bietet sie dazu passende Software über einen Online-Shop an sowie die Möglichkeit, dass Eltern und Kinder ihre Daten oder Bilder auf einem Firmen-Server speichern können.

Die Eltern-Konten in den VTech-Datenbanken enthalten E-Mail-Adressen, verschlüsselte Passwörter, IP-Adressen, Postanschriften und die Liste bisheriger Downloads. Kreditkarten-Daten werden bei VTech nicht gespeichert. Die gehackten Kinder-Profile bestehen vor allem aus den Namen, dem Geschlecht und dem Geburtsdatum. Auf der Website „Have I been pwned" des Microsoft-Sicherheitsexperten Troy Hunt können Kunden prüfen, ob Hacker ihre Daten haben.

Berichte, nach denen die Daten-Diebe auch Fotos von Kindern und Protokolle von Chats mit deren Eltern stehlen konnten, werden zur Zeit noch von VTech geprüft. Bislang spricht jedoch einiges dagegen. Vor allem die Tatsache, dass die Bilder normalerweise durch eine Verschlüsselung geschützt werden.

Den Daten-Dieben geht es vor allem darum, die gehackten Nutzerdaten an zwielichtige Auftraggeber zu verkaufen, die massenweise Werbung und Spam per Post als auch per Mail zu verschicken. Die VTech-Daten haben für sie den Vorteil, dass es sich dabei garantiert um Kundendaten von Familien mit Kindern handelt. Mit den gestohlenen Daten können sie deshalb ganz gezielt Werbung und vielversprechende Lock-Inhalte generieren, die bei der Kundengruppe besonders gut ankommen.

Angeblich hat sich bei US-Medien einer der VTech-Hacker gemeldet und erklärt, dass man mit der Aktion VTech zwingen wollte, die Sicherheitsbedingungen für Kunden-Daten zu verbessern. Es gehe nicht darum, die Informationen ins Netz zu stellen oder zu verkaufen. Doch für diese Behauptung liegt bislang kein Beweis vor. Deshalb sollten sich auch betroffene Verbraucher auf jeden Fall schüzten.

Zuerst die gute Nachricht: Die erbeuteten Mail-Adressen und Passwörter lassen erst einmal nur den Zugriff auf die VTech-Accounts zu. Wenn Ihr aber die gleiche Mail-Adresse mit dem identischen Passwort auch für das Einloggen auf anderen Seiten – wie Facebook oder verschiedene Shopping-Seiten – verwendet, solltet ihr unbedingt für jede Seite neue Passwörter zu vergeben: Sonst können die Hacker auch auf Eure Daten bei anderen Anbietern zugreifen und z.B. Waren in Eurem Namen bestellen.

Ein sicheres Passwort sollte mindestens acht Zeichen lang sein und neben großen und kleinen Buchstaben auch Sonderzeichen und Ziffern enthalten. Experten empfehlen hier zufällig gewählte Zeichen- und Ziffern-Kombinationen, die man sich mit Eselsbrücken merken kann – z.B. „ddsv" für „Daten-Diebe sind Verbrecher" - und eben nicht gängige Varianten wie „12345678" oder „qwertzui", nur weil die Zeichen auf der Tastatur nebeneinander liegen.