VTech (o Video TECHnology Ltd.), compañía fabricante de dispositivos electrónicos, anunció que experimentó una brecha de seguridad que afectó a hasta cinco millones de sus clientes. Según reveló, su sitio Learning Lodge, que estuvo "temporalmente suspendido", fue comprometido el 14 de noviembre.
Learning Lodge, similar a tiendas de aplicaciones como Google Play, está destinada a padres y les ofrece contenido educativo que puede descargarse a varios dispositivos de VTech. La información que se almacena en este sitio incluye nombres, direcciones, contraseñas cifradas, historial de descargas y preguntas de seguridad junto a sus respuestas.
Sin embargo, según VTech, la información relativa a las tarjetas de crédito de sus clientes no está almacenada en esta plataforma y por lo tanto no fue comprometida. "Para completar el pago o proceso de check-out de cualquier descarga hecha en el sitio web Learning Lodge, nuestros clientes son dirigidos a un portal de pagos externo seguro", explicó la compañía.
"Además, nuestra base de clientes no contiene ninguna información de identificación personal. La investigación continúa mientras buscamos formas adicionales de fortalecer la seguridad de la base de datos de Learning Lodge", añadió.
En conversación con la BBC, el profesor Alan Woodward, experto en ciberseguridad y comunicaciones encubiertas de la Universidad de Surrey, dijo que la brecha de datos ocurrió probablemente a través de una inyección SQL. Comentó que si este fuera el caso, entonces VTech tiene mucho que explicar ya que este tipo de ataque, en el que código malicioso es inyectado en una aplicación para ganar acceso y controlar una base de datos, expone vulnerabilidades que no deberían existir.
"Estas brechas son endémicas y debemos detenerlas", expresó. "Si eso significa enfocar las mentes de estas compañías a través de grandes multas entonces que así sea. Necesita tomarse en serio y los responsables deben rendir cuentas".Esta brecha de datos de consumidores es la cuarta más grande de todos los tiempos. El récord actual lo sostiene Adobe, que fue atacada en 2013. En ese entonces, 38 millones de clientes fueron afectados.