Hackeři databázi napadli 14. listopadu, firma informaci o útoku zveřejnila s dvoutýdenním zpožděním a zároveň pozastavila provoz shopu. Společnost se sídlem v Hong Kongu operuje po celém světě, včetně České republiky.

Útočníci se mohli dostat k obecným informacím z uživatelských profilů zákazníků, tedy jménům, e-mailovým adresám, heslům, kontrolním otázkám k heslům a jejich odpovědím, přístupovým IP adresám a historii stahování z webu.

„Ihned po zjištění neoprávněného přístupu jsme provedli důkladné šetření, které zahrnovalo komplexní kontrolu napadeného místa a provedli jsme opatření na obranu proti jakýmkoli dalším útokům,“ ujistili zástupci napadené společnosti. Zároveň vyvrátili informace o možném zneužití platebních karet, z nichž byly hrazeny nákupy na Learning Lodge App Store.

„Naše zákaznická databáze neobsahuje žádné informace o kreditních kartách a VTech nezpracovává ani neukládá žádná data o kreditních kartách zákazníků na své stránce  Learning Lodge,“ uvedla firma. VTech při elektronických platbách přesměrovává klienty na platební brány třetích stran, které jsou podle ní naprosto bezpečné a únik dat se jich nijak nedotkl.

Vsunutí kódu přes neošetřený vstup

Podle profesora Alana Woodwarda, experta na kybernetickou bezpečnost a skrytou komunikaci ze Surreyské univerzity bylo průlomu do zákaznické databáze VTech pravděpodobně dosaženo prostřednictvím SQL injection, tedy vsunutím kódu přes neošetřený vstup a realizováním vlastního, pozměněného SQL dotazu.

Pokud se podle Woodwarda tato teorie potvrdí, bude mít VTech co vysvětlovat, protože tento druh útoku, kdy se škodlivý kód vsune do aplikace a jeho prostřednictvím hackeři získají přístup a kontrolu nad databází, využívá slabá místa, která by neměla na webu společnosti vůbec existovat. „To je naprosto endemické porušení bezpečnostních pravidel, které je třeba zastavit,“ prohlásil profesor v rozhovoru pro BBC.

„Pokud by to znamenalo vzbudit u těchto společností smysl pro bezpečnost prostřednictvím vysokých pokut, budiž. Je třeba to brát vážně a patřičné osoby hnát k odpovědnosti,“ dodal.

Žebříček vede Adobe

Světový žebříček kybernetických útoků na spotřebitelské databáze vede společnost Adobe, která v roce 2013 ohlásila průnik k datům 38 milionů zákazníků.

Společnost VTech uklidňuje své klienty, že její databáze neobsahovala žádné osobní identifikační údaje, tedy ani čísla řidičských průkazů nebo sociálního pojištění.

„Vyšetřování pokračuje, a my mezitím hledáme způsoby, jak posílit zabezpečení naší databáze Learning Lodge. Zavázali jsme se k ochraně informací o našich zákaznících i jejich soukromí, a chceme tak zabránit jakýkoli takovým mimořádným událostem kdykoli v budoucnu,“ uvedla firma, která je největším výrobcem elektronických učebních pomůcek na světě.