Eredeti cikk: https://darknetdiaries.com/transcript/2/
2015. december 15., kedd van, és letartóztattak egy gyanúsítottat a VTech gyerekjátékok feltörésének ügyében. A brit rendőrség néhány órával ezelőtt bilincset csapott egy 21 éves férfira a hackerügyben folyó nyomozás részeként. Becslések szerint közel 6,5 millió gyerekprofil és közel ötmillió felnőtt fiók került veszélybe az évek óta talán a leggátlástalanabbul címlapokra kerülő hackelés során. Hitelkártyaadatokhoz nem jutottak hozzá, de a gyerekek neveihez és címeihez állítólag hozzáfértek, ami amellett, hogy a VTech-et megalázó, egyszerűen csak hátborzongató. A gyanúsítottat még nem nevezték meg, de valami azt súgja, hogy a rácsok mögött töltött következő napjai valószínűleg nem lesznek túl kellemesek. Boldog ünnepeket, szemétláda.
JACK: Ez itt a Darknet Diaries, igaz történetek az internet sötét oldaláról. Jack Rhysider vagyok.
JACK: A mai gyerekek látják, hogy a szüleik tabletet és telefont használnak, és ők is játszani akarnak. A játékgyártók megpróbálták ezt kihasználni azzal, hogy gyerekbarát tableteket és okosórákat kínálnak. Ezek a gyerekbarát készülékek ugyanúgy online vannak és csatlakoznak az internethez, mint bármely más tablet. Olyan funkciókkal rendelkeznek, amelyek lehetővé teszik, hogy a gyermek üzeneteket küldjön a tabletről a szülő telefonjára. De nem csak csevegéseket.
A gyerek képeket, videókat vagy hangfelvételeket is küldhet. A VTech az egyik gyártója az ilyen gyerekbarát eszközöknek. Olyan tableteket és telefonos alkalmazásokat készítenek, amelyeket kifejezetten gyerekeknek terveztek. A VTech táblagép vásárlásakor megkér, hogy regisztráld a készüléket. Kérik a szülő nevét és fizikai címét, valamint a felhasználónevet és a jelszót. Ezután a játéktabletta megkérdezi a gyermek nevét is, hogy fiú vagy lány, és hogy mi a születésnapja. Még azt is javasolja, hogy készítsen egy képet a gyermekről, amint a táblagépet használja a profil beállításához. Ez a regisztráció lehetővé teszi, hogy a szülő telefonja csatlakozzon a gyerek tabletjéhez. A VTech által létrehozott technológia, amely összekapcsolja a szülő telefonját a gyermek tabletjével, a Kid Connect nevet viseli. A VTech saját alkalmazásboltot is létrehozott The Learning Lodge néven, ahonnan a tabletjük segítségével alkalmazásokat, játékokat és könyveket tölthetnek le. Tippeljen, mi történik, ha a hackerek kezébe kerülnek ezek a játéktabletek.
A végén a határokig feszegetik a tableteket. Van egy fórum, amely a VTech táblagépek feltörésével foglalkozik. Az emberek mindenféle dolgot meg tudtak csinálni. Az egyik hacker szétszedte a készüléket, és egy forrasztópáka segítségével be tudott jutni a Linux operációs rendszerbe. Onnan a hackereknek sikerült root hozzáférést szerezniük. Aztán végül valaki megmutatta, hogy a kis játéktáblával a Doomot, azt a régi PC-s játékot a 90-es évekből, le tudta játszani. A hardveres hacker közösségben gyakran hallani, hogy ha nem tudod kinyitni, akkor nem is a tiéd. Ahogy a saját autódon is legálisan dolgozhatsz, úgy a saját elektronikádat is legálisan módosíthatod. Lehet, hogy érvényteleníti a garanciát, de nem illegális szétszedni és azt csinálni vele, amit csak akar. Ahogy ez a fórum egyre népszerűbb lett, végül másfajta hackereket vonzott. A hardveres hacker helyett ez a fickó hálózati hacker volt. Körbenézett, és rájött, hogy a táblagépek gyakran beszélnek egy planetvtech.com nevű weboldalhoz. Megnézte ezt a weboldalt, és szinte azonnal rájött, hogy sebezhető az SQL-injekcióval szemben.
Az SQL-injekciók az első számú kockázat, amellyel a weboldalaknak szembe kell nézniük. Kihasználja a gyenge kódot, és megpróbálja kihasználni a mögöttes adatbázist. Az ilyen hálózati hackerek gyakran már rengeteg olyan szkripttel és programmal vannak felszerelve, amelyek automatikusan végrehajtják a támadást. Puszta kíváncsiságból, néhány billentyűleütéssel ez a hacker lefuttatott egy szkriptet a planetvtech.com ellen, amely megpróbálta kihasználni az SQL-t. Meglepetésére működött. Shell hozzáférést kapott a weboldalhoz. Néhány billentyűleütéssel később már root hozzáférése volt. Azt mondta magának, idézem: „Szent szar. Van root hozzáférésem. Ez könnyű volt. Mit találhatok?” Idézet vége. Teljes hozzáférése volt a planetvtech.com weboldalhoz. 100 százalékos irányítással. Miután a hacker bejutott a webszerverre, körülnézett. Számos más szervert is látott a VTech hálózatán, köztük egy adatbázis-szervert. Képes volt beugrani az adatbázisba, és amikor ott körülnézett, megállapította, hogy az adatbázis hatalmas. A hacker mindenről másolatot készített az adatbázisban, letöltötte az egészet, majd továbbment egy másik adatbázisba, és ott is másolatot készített mindenről. A hacker ezután lecsatlakozott a VTech szervereiről.
Tudta, hogy bűncselekményt követett el, és idegesség hulláma söpört végig rajta. Ez a betörés 2015. november 16-a körül történt. A hacker egyformán csalódott és izgatott volt. Úgy gondolta, hogy túlságosan is könnyű volt bejutni a VTech hálózatába. Nagyon rövid idő alatt képes volt több adatbázisuk teljes tartalmát megszerezni. A VTech adatbázisának saját számítógépén lévő másolatával lassan át tudta nézni, hogy milyen adatokkal rendelkezik. Az első dolog, amit észrevett, egy „Szülő” nevű táblázat volt. A következő mezők voltak benne: Keresztnév, vezetéknév, e-mail cím, titkosított jelszó, titkos kérdés, titkos válasz, lakcím, IP-cím. Ahogy a hacker nézte, rájött, hogy ez a teljes felhasználói adatbázis mindenkinek, aki regisztrált az oldalon. Ebben a táblázatban 4,8 millió ember szerepelt. Nem hitt a szemének.
A 4,8 millió felhasználói fiókot tartalmazó lista forró téma lenne a sötét hálózaton. Egy ekkora lista tisztességes Bitcoin bevételre tehet szert, de a hackernek nem állt szándékában eladni az adatokat. A hacker még egyszer átnézte az adatbázist, és talált egy másik érdekes táblát, a Membert. Ez tartalmazta a gyerekek nevét, születésnapját, nemét és a szülők azonosítóját. A hacker rájött, hogy a két tábla kombinálásával egyértelműen azonosítani tudja, hogy mi a gyermek vezetékneve és hol lakik. Ez a táblázat 200 000 gyermek adatait tartalmazta. A születési dátumokat megnézve a gyermek átlagéletkora öt év volt. A hacker kikapcsolta a számítógépét, és sétálni ment, hogy átgondolja, mit tegyen. Sokkal inkább dühös volt, mint izgatott. Dühös volt, hogy a VTech ennyire hanyagul gondoskodott az oldaluk biztosításáról, és hogy ennyi gyermek személyes adataihoz ilyen könnyen hozzájutott. A hacker számára világossá vált, hogy rá kell vennie a VTech-et, hogy ismerje el, hogy biztonsági problémájuk van, és hogy orvosolja azt. A gyermekek személyes adatainak ilyen laza védelme elfogadhatatlan volt a hacker számára, ezért elkezdett azon gondolkodni, hogyan lehetne megoldani a problémát. Bemehetne, és maga is kijavíthatná, de ez nem tanítaná meg a VTech-et arra, hogyan tartsa biztonságban a jövőben. Gondolt arra, hogy megkeresi a VTech-et, de úgy gondolta, hogy soha nem hallgatnák meg, vagy megpróbálnák kijavítani a problémát, és letagadnák, hogy valaha is probléma volt. A hacker néhány napig gondolkodott azon, hogy mit tegyen.
Úgy döntött, hogy szól a médiának. Így a történet világszerte elterjedne, és a VTech-nek gyorsan meg kellene oldania a problémát. Úgy döntött, hogy megkeresi Lorenzo Franceschi-Bicchierai-t, a Vice’s Motherboard riporterét. A Motherboard egy olyan hírportál, amely kifejezetten a számítógépekkel kapcsolatos történetekkel foglalkozik, és Lorenzo sok igazán nagyszerű történetet hozott nyilvánosságra a jogsértésekről. Sok biztonsági riporter számos módot biztosít arra, hogy az emberek névtelenül elérjék őket, néha jelzésen keresztül, vagy PGP e-mailek, titkosított chat vagy más eszközök segítségével. A hacker biztonságosan kapcsolódott Lorenzóhoz, és kérte, hogy névtelen maradjon. Átadta Lorenzónak a 4,8 millió felhasználói adatot és a 200 000 gyermek adatát, és megkérte, hogy hozza nyilvánosságra a történetet. Egyértelműen közölte Lorenzóval, hogy ő egy etikus hacker, és nem áll szándékában ezeket az adatokat semmi rosszindulatú célra felhasználni. A hacker azt mondta Lorenzónak, idézem: „Adatbázis export adatokból profitálni nem szoktam, különösen akkor nem, ha gyerekekről van szó. Csak azt akarom, hogy a problémákra felhívják a figyelmet és kijavítsák azokat. Elég könnyű volt a dumpolás, így valaki sötétebb indítékkal könnyen megszerezhette. Őszintén szólva rosszul vagyok attól, hogy képes voltam megszerezni ezeket a dolgokat. A VTech-nek meg kellene kapnia a büntetést.
Lorenzóra hárult most az a teher, hogy kitalálja, mit tegyen. Először is megpróbálta megállapítani, hogy a hacker igazat mond-e, és hogy ezek az adatok újak és legálisak-e. A legrosszabb dolog, amit egy riporter tehet, hogy hamisan vádol valakit. Ez rágalmazás lenne. Ez tönkretenné a riporter hírnevét, ezért Lorenzo elküldte a dumpot Troy Huntnak, hogy ellenőrizze azt. Troy egy biztonsági kutató, aki leginkább a haveibeenpwned.com weboldal működtetéséről ismert. Troy annyi e-mail dumpot szerez meg, amennyit csak tud. Ezek olyan e-mail címek óriási listái, amelyeket biztonsági résekben látnak. A listát aztán nyilvános szolgáltatássá alakítja, hogy bárki megnézhesse a weboldalán, hogy az ő e-mail címe is része volt-e a jogsértésnek. Elsőre azt gondolhatod, hogy egy ilyen oldal egy adathalász átverés, és néhányan azok is, de Troy bebizonyította, hogy etikus és legális. Ő és a honlapja megbízható. Több mint négymilliárd e-mail cím van az adatbázisában, amelyet az összes nyilvános jogsértésből gyűjtött össze. Troy vetett egy pillantást erre a Lorenzo által küldött új dumpra. Úgy találta, hogy a jelszó mező nem volt titkosítva az adatbázisban, ahogyan azt állította.
Ehelyett a jelszavakat egy egyszerű, sótlan MD5-ös hash segítségével tárolták. Anélkül, hogy túlságosan részleteznénk, mi is az az MD5, csak annyit kell tudni, hogy rossz biztonsági gyakorlat a jelszavakat így tárolni. Néhány MD5-ös hash egyszerűen megkeresheti a Google-ban a jelszót. Vannak olyan szuper számítógépek, amelyek képesek az MD5 hash-értéket brutális erővel és viszonylag gyorsan feltörni. A jelszavak MD5-ös hash-ként való tárolása súlyos biztonsági hiányosság. Troy először megdöbbent ezen. Ezután felment a weboldalra, hogy megnézze, hogyan néz ki. Azonnal észrevette, hogy az oldal sehol nem használ HTTPS-t, sem a hitelesítéshez, sem az API-hoz, semmihez. Azt is észrevette, hogy a webhely ASP 2.0-t használ, amelyet a Microsoft már több mint négy éve nem támogatott. Azt is észrevette, hogy a weboldal egyes részei több információt szivárogtatnak ki, mint kellene, és meglepő eredményekkel hibákat küldenek vissza. Egy sikertelen bejelentkezési üzenet valójában a bejelentkezéshez használt SQL-lekérdezést mutatta. Troy-t sokkolták azok az adatok, amelyeket egyszerűen a webhely használatával tudott összegyűjteni, és még csak meg sem próbálta feltörni azt.
Troy számára a dump átment a „szimatpróbán”, de a közel ötmillió felhasználói rekordnál segítséget kért, hogy ellenőrizze, hogy a tartalom legális-e. Troy Have I Been Pwned? weboldala hatalmas sikert aratott, és egy további szolgáltatást is kínált: nem csak azt tudta ellenőrizni, hogy az e-mail címe nem szerepelt-e a betörésben, hanem meg is adhatta neki az e-mail címét, és ő értesítette, ha a jövőben feltűnik a betörésben. Ekkorra Troynak már majdnem 300 000 feliratkozója volt erre az e-mail megfigyelő listára. Troy átnézte a feliratkozóit, és megpróbált olyanokat találni, akik szintén felbukkantak a VTech felhasználói adathalmazában. Valójában sok egyező e-mail címet talált, ezért felkereste ezeket az embereket. Megkérdezte, hogy van-e VTech-fiókjuk, és megkérdezte, hogy a lakcím és az internetszolgáltató pontos-e. A válaszok a következők voltak. „Igen, ez pontos. Tényleg regisztráltam a VTech-nél, hogy le tudjak tölteni kiegészítőket egy játék laptophoz”. „Igen, ez pontos. Ez egy régi cím. Annak idején annál az internetszolgáltatónál voltam, így tudom ellenőrizni az információt. Én is a VTech weboldalát használtam volna a lányom számára abban az időben.” „Igen, 2014-ben, miután megvásároltam a Cora Cubot a gyermekemnek, valóban beléptem a VTech Learning Lodge oldalára. Ahhoz, hogy személyre szabhassa a hangvezérelt funkcióját, csatlakoznia kellett a The Learning Lodge-hoz.” Ezen a ponton Troy meg volt győződve arról, hogy a dump legális, és elmondta Lorenzónak, hogy mit talált.
JACK: Ekkorra Lorenzo már többször is megkereste a VTech-et. Lorenzo újra és újra nem kapott választ, vagy máshová irányították át. Végül napokkal később Lorenzo a következő választ kapta a VTech szóvivőjétől, Grace Pingtől. Idézet: „November 14-én egy illetéktelen fél hozzáfért a VTech ügyféladataihoz a Learning Lodge alkalmazásboltunk ügyféladatbázisában. Nem volt tudomásunk erről a jogosulatlan hozzáférésről, amíg Ön nem figyelmeztetett minket.” Idézet vége. A VTech azt állítja, hogy megkapták az e-mailt Lorenzótól, másnap bizonyítékot találtak a hackelésre, majd három nappal később sajtóközleményt adtak ki, és e-mailben értesítették ügyfeleiket. A kezdeti sajtóközleményük homályos és nem volt egyértelmű, hogy mit vittek el és kiket érintett. Azt is közölték, hogy a jelszavakat titkosították, de az MD5 hashing technikailag nem titkosítási módszer. A dátum sem stimmelt, mivel a dumpban szereplő adatokat két nappal azután jelölték meg időbélyegzővel, hogy közölték, hogy a jogsértés megtörtént.
A következő weboldalakat azonban leszedték: planetvtech.com, vsmilelink.com és sleepybearlullabytime.com. Ezeknek a weboldalaknak a leállítása nagy döntés lehetett a VTech számára. Képzelje el, hogy az alkalmazásbolt több mint egy hónapig nem elérhető a telefonján. Nincs frissítés, nincs letöltés, nincs üzenetküldés a készülékek között. A játékaik jelentős funkciókat veszítettek ez idő alatt, de a vállalat helyesen cselekedett, amikor leállította a szervereket. Ha nem így tesznek, akkor sok más hackert is magukhoz vonzottak volna, és sokkal nagyobb katasztrófa lett volna a vége. Miután a sebezhető weboldalakat lekapcsolták, és kiadtak egy sajtónyilatkozatot, Lorenzo ezután tette közzé cikkét, amelyben jelezte, hogy a VTech-et adatvédelmi incidens érte. Közzétette az összes részletet, amit a hacker adott neki. Troy Hunt ezt követően egy saját, lesújtó blogbejegyzéssel követte. A hír gyorsan elterjedt a VTech gyenge biztonsági ellenőrzéséről. A szülők világszerte felháborodtak azon, hogy gyermekeik adatai kiszivárogtak. A VTech egy hongkongi székhelyű vállalat, de nagy piaca van az Egyesült Államokban, Spanyolországban, az Egyesült Királyságban, Németországban és Franciaországban. A VTech részvényei zuhanni kezdtek.
Troy etikai dilemma elé is került. A haveibeenpwned.com honlapja lehetővé tette a felhasználók számára, hogy olyan e-maileket keressenek, amelyek nyilvános adatszivárgásokban láttak napvilágot. A 4,8 millió e-mail címet felvette az oldalára, de a gyerekek nevét nem volt hajlandó kereshetővé tenni. A VTech-be betörő hacker még egyszer megnézte az általa megszerzett adatokat. Meglepetésére még több adatot talált, mint amennyit eredetileg gondolt. Volt egy bizonyos könyvtár, amely 190 gigabájtnyi adatot tartalmazott. Ahogy átnézte, rájött, hogy több mint 100 000 képet tartalmaz, amelyeket a gyerekek készítettek a táblagépeikkel, óráikkal vagy laptopjaikkal. Sok ilyen kép duplikátum volt, elmosódott vagy egyszerűen csak fekete, így nehéz volt kitalálni, hogy hány tényleges fotóról van szó. A hacker tovább nézte az általa készített fájlokat. Úgy találta, hogy voltak olyan csevegési naplók, amelyek egy egész évre visszamenőleg is visszanyúltak. Ezek lennének az összes csevegőüzenet, amelyet a gyermek táblagépe és a szülő telefonja között küldtek. Még tovább vizsgálva az adatokat, a hacker talált egy könyvtárat, amely tele volt hangfájlokkal. Megnyitott egyet, és lejátszotta. Ezt hallotta.
Gyermek: Hűséget fogadok az Amerikai Egyesült Államok zászlajának és a köztársaságnak, amelyért ez a zászló áll, egy nemzet Isten alatt és …
JACK: Több ezer ilyen felvétel volt. Ezek olyan felvételek, amelyeken gyerekek beszélnek a tabletjükbe. A hacker visszanyúlt Lorenzóhoz, és átadta neki a 190 gigabájtnyi fotót, az évekig tartó chatnaplókat és számos hangfelvételt. Néhány nappal később Lorenzo egy második cikket is közzétett a Motherboardon ezekkel az új eredményekkel. Most már láthatjuk a gyerekek szerkesztett képeit és hallhatjuk a hangjukat. Ez újabb sót szór a VTech sebeire. Egyre több szülő jön rá, hogy gyermekeik személyes adatait nem tartották biztonságban. A hacker elmondta Lorenzónak, hogy elégedett azzal, ahogy a hírek elterjesztik a probléma tudatosságát. Idézem: „Ez pont akkora visszhangot kelt, mint amekkorát reméltem”. Idézet vége. A hacker azt is elmondta, hogy lehet, hogy új célpontot fog keresni. Idézet: „Talán a VTech versenytársaiba, nem tudom”. Idézet vége. December 1-jén, két héttel a betörés után a VTech közzétett egy GYIK-et. Ez további információkat tartalmazott a hackelésről. A VTech azt állítja, hogy nem csak 200 000 gyermekfiókot vittek el, hanem ez a szám 6,3 millió gyermekfiók volt.
A VTech azonban nem ismerte el, hogy bármilyen fényképet elvittek volna. Ezután Edward Markey és Joe Barton amerikai szenátorok levelet küldtek a VTech-nek, amelyben a gyermekek online adatainak védelméről szóló törvényre (The Children’s Online Privacy Protection Act, más néven COPPA) hivatkoztak, amely 1998-ban született a gyermekek online védelmére. Levelük kilenc kérdést is tartalmazott, amelyekre a VTech-től választ vártak, például: Milyen adatokat gyűjtenek tizenkét év alatti gyermekekről? Mire használják fel ezeket az információkat? Eladják-e ezeket az adatokat bárkinek is? Milyen titkosítást használnak az adatok védelmére? A VTech nem válaszolt azonnal, de végül frissítették a GYIK-et, hogy megválaszoljanak néhányat ezek közül a kérdések közül. Egy héttel a jogsértés után a VTech felbérelte a FireEye nevű biztonsági céget, hogy segítsen az incidensek elhárításában. A FireEye képes volt megtalálni és megoldani a biztonsági problémákat. Január 25-én, két hónappal a szerverek leállítása után, részben helyreállították azokat. A felhasználók újra frissíthették és regisztrálhatták készülékeiket, de az alkalmazásboltot továbbra sem tudták használni.
Egy hónappal a jogsértés után egy angliai bűnügyi egység egy 21 éves férfit fogott el és tartóztatott le egy Londontól nyugatra fekvő városban. Letartóztatták a számítógép jogosulatlan használatának gyanújával, amely körvonalazza az 1990-es számítógépes visszaélésekről szóló törvényt. A bűnügyi egység több talált elektronikus eszközt is lefoglalt. Azt is megemlítették, hogy ez összefüggésben lehet a VTech-csel, de a sajtóközlemény nem közölte a letartóztatott férfi nevét. Lorenzo megpróbálta elérni a hackert, de nem kapott választ. Két hónappal a betörés után Lorenzo részt vett egy elektronikai szakkiállításon, és az egyik standon a VTech-et találta. Éppen egy vadonatúj termékcsaládot mutattak be. Ezek azonban nem gyerekeknek készültek. Intelligens izzókat, ajtóérzékelőket és biztonsági kamerákat árultak. Amikor Lorenzo megkérdezte a VTech marketingigazgatóját, hogy ezek biztonságosak-e, azt mondta, hogy idézem: „egy harmadik fél által végzett behatolásteszteken mennek keresztül, és minden nagyon biztonságos lesz”. Idézet vége.
A következő hónapban a VTech megváltoztatta a szolgáltatási feltételeket a weboldalán. Mostantól ez állt benne, csupa nagybetűvel,
ÖN TUDOMÁSUL VESZI ÉS ELFOGADJA, HOGY AZ OLDAL HASZNÁLATA SORÁN KÜLDÖTT VAGY KAPOTT INFORMÁCIÓK NEM BIZTONSÁGOSAK, ÉS AZOKAT ELFOGHATJÁK, VAGY KÉSŐBB ILLETÉKTELENEK MEGSZEREZHETIK. Úgy tűnik, hogy a VTech úgy gondolja, hogy felmentheti magát a vétkek alól azzal, hogy egyszerűen tudatja ügyfeleivel, hogy adataik nem biztonságosak és bármikor feltörhetik őket. Néhány jogász kommentálta ezt, és úgy vélik, hogy egy ilyen záradék nem állja meg a helyét az Egyesült Államokban vagy az Egyesült Királyságban, olyan dolgokra hivatkozva, mint a COPPA-törvények. Számos politikus és államügyész kereste meg a VTech-et, hogy részletesen megvitassák a COPPA-törvényeket. A VTech frissítette adatvédelmi szabályzatát, hogy jobban megfeleljen a COPPA-nak. Az adatvédelmi szabályzatukban például mostantól azt írják, hogy minden kép és hangüzenet titkosítva van, amikor tárolják. A VTech részvényei a jogsértés előtt csökkenő tendenciát mutattak, a jogsértés után pedig a részvények 13 százalékkal estek. Három hónapon belül ismét a jogsértés előtti szint fölé emelkedett. A játékokat továbbra is árulják a világ nagy játékboltjaiban.
A jogsértést követő hetekben több feldúlt szülő beperelte a VTech North America vállalatot. A pereket egyetlen, csoportos perbe fogták össze. A felperesek között nyolc felnőtt és tizennégy gyermek volt. Másfél évvel később, 2017 júliusában az ügy a bíró elé került. A VTech kérte a bírót, hogy utasítsa el az ügyet, aminek a bíró helyt adott. Azért utasította el az ügyet, mert a felperesek nem tudták bizonyítani, hogy milyen kár érte őket. A bíró nem talált bizonyítékot arra, hogy személyazonosság-lopás vagy bármilyen kár érte volna a felpereseket. A bíró idézte Lorenzo cikkét, amely szerint a jogsértést olyan valaki követte el, akinek nem állt szándékában rosszindulatúan felhasználni az adatokat. Van egy frissítés a történethez. 2018. január 8-án az FTC valóban úgy találta, hogy a VTech megsértette a COPPA-törvényeket. A VTech beleegyezett, hogy kifizeti az FTC által kiszabott 650 000 dolláros bírságot, de kiadott egy sajtóközleményt is, amelyben azt állítják, hogy nem sértettek meg semmilyen törvényt. Emellett kötelesek felülvizsgálni a biztonsági programjukat és biztonsági auditokat végezni a következő húsz évben. [Nem láttuk, hogy ennek a dumpnak a tartalma felbukkant volna bármelyik dark netes oldalon. Ez arra enged következtetni, hogy a hacker betartotta az ígéretét, és nem próbált hasznot húzni az ellopott adatokból.
A VTech GYIK-je tartalmazott egy kérdést, amiben azt kérdezték, hogy mi történt a letartóztatott hackerrel. A GYIK több mint egy éven keresztül egyszerűen csak a letartóztató bűnügyi egység által kiadott sajtóközleményre hivatkozott. A sajtóközlemény nagyon kevés információt tartalmazott. Még a nevét sem tartalmazta. 2016 decemberében, több mint egy évvel a jogsértés után a VTech frissítette a GYIK-et, és más választ adott erre a kérdésre. Azt írta, hogy az elfogott férfi 2016 novemberében egyszerűen csak hivatalos rendőrségi figyelmeztetést kapott. Ha ez igaz, akkor ez azt jelenti, hogy egy teljes évig volt őrizetben, mielőtt rendőrségi figyelmeztetést kapott volna. A rendőrségi figyelmeztetést általában kisebb bűncselekmények esetén tartják fenn, hogy néha megspórolják a teljes rendőrségi jelentés kitöltését, de a bűncselekményt mégis feljegyzik a nyilvántartásba. Lehet, hogy a GYIK elírta az évszámot. Még most, két évvel később is tisztázatlan, hogy pontosan mi történt a hackerrel. Nem tudjuk, hogy letartóztatták-e vagy sem. Még a nevét és a státuszát sem tudjuk. Ha csak egy rendőrségi figyelmeztetést kapott, akkor a történetnek vége. De lehet, hogy még mindig valahol a börtönben ül. Bár a hacker bűncselekményt követett el, a szándéka csupán az volt, hogy feljelentő legyen, és elsődleges célja a gyermekek adatainak biztonságának javítása volt.
A fordítás a https://www.deepl.com segítségével törtönt.