保障公司UKnowkids出于处理儿童数据违规之火
儿童社交媒体监测服务Uknowkids因其对其IT系统的安全报告的回应而受到火灾。
该报告声称,属于UknowkID的数据库 - 介绍超过1,700名儿童的个人详细信息 - 在线访问。
美国公司提供了一项服务,使家长能够监控和分析他们的孩子的社交网络和手机活动。
Uknowkids被发现的安全研究员克里斯维斯·克里斯·维克利(Chris Vickery)通知,他们发现数据库是CONPD的公共访问,不需要身份验证或密码。
这意味着 - 除了违反名称,电子邮件地址,出生日期,社交媒体凭据和其他细节之外 - 超过680万个短信和近200万只图像都没有受到保护。
Vickery表示,没有办法知道数据暴露于公共互联网的时间,或者有多少人访问了数据。
“TheShodan.iosearch引擎收集的信息表明数据库至少有48天,”他在博客帖子中写道。
根据Vickery,公司的初始电子邮件回复是积极的,感谢他有机会解决“很容易”威胁到业务的问题。
然而,在随后的电话中,他说,Uknowkids首席执行官Steve Woda“尝试了所有的恐吓战术”对他。
Vickery说,沃达曾试图说服他,任何人报告数据曝光可能会面临美国儿童在线隐私保护法(COPPA)的责任。
在博客文章中,沃达表示,“黑客”一再以“未经授权的方式”违反了私人Uknowkids数据库,并于2016年2月17日通知了数据曝光公司。
虽然问题在90分钟内得到了问题,但Uknowkids被批评为五天后通知受违约影响的人。
PC Pitstop的网络安全副总裁Dodi Glenn表示,威胁与儿童有关的数据正在成为一个趋势,2015年11月的VTech曝光了20万孩子细节。
“我认为uknowkids.com披露违规行为有点迟到,因为我肯定有父母在那里不希望他们的孩子个人信息和互联网上的照片来看,”他说。
格伦说,而不是威胁安全研究人员,公司应该尊重他们,并认为他们是他们自己的IT部门的延伸。
“他们需要意识到这些杀戮并不试图用他们的知识做任何恶意的事情 - 他们不应该威胁诉讼或被呼吁当局。如果一个好人可以发现一个洞,那么坏人也可以,“他说。
在2015年8月在拉斯维加斯的Thedef Con 23hacker会议上,Security公司Rapid7每周告诉电脑 - 尽管安全漏洞的重要性披露 - 可以挑战与非安全公司的沟通渠道挑战。
RAPIT7的安全工程经理SWITE7的安全工程经理表示,报告产品或服务中的安全漏洞通常会被非安全的公司留在负面灯中,因为它是“像安全社区中的某人告诉他们他们的宝宝丑陋”。
沃迪表示,Uknowkids已经“锁定了过去几天的事实”,对所有系统的取证分析。
“我们计划向客户,媒体和适当的法定机构披露所有相关的服务器,一旦我们的事实充满信心100%准确,”他说。
据罗达称,没有财务信息管理人未加密的密码凭据易受群体,并且暴露的数据与“大约0.5%的uknowkids帮助父母保护的孩子”相关。
他表示,该公司已重新介绍所有加密密钥和数据模式,以“大幅减轻任何先前违反数据”;聘请了两个安全公司来渗透测试公司的系统,以便在未来尽快确定任何未来的漏洞;并且正在更新其现有的安全策略和框架,以便公司将遵循的“日常,每周,每月和每月安全程序”为保护客户数据和企业资产的“零模棱两可”。