Se ha revelado que la brecha en VTech, compañía fabricante de juguetes y dispositivos electrónicos, fue mucho más severa de lo que se creía: ahora se sabe que los afectados fueron 10 millones de clientes, mientras que hace apenas dos días se hablaba de la mitad.
En una reciente actualización en su sitio web, la empresa confirmó que las cuentas de 6,4 millones de niños y 4,9 millones de adultos fueron comprometidas. La información a la que los atacantes pudieron acceder incluye nombres, direcciones de correo electónico, historial de descargas y contraseñas cifradas.
Si bien ha sido ampliamente reportado que fotos y registros de conversaciones por chat también han caído en manos del responsable (o los responsables) del ataque, VTech se mantiene hermética sobre este punto y no ha dicho nada al respecto. Afirmó que mientras se lleva a cabo la investigación sobre el incidente, no es capaz de confirmarlo. Sin embargo, dijo que las imágenes están cifradas con AES128.
Además, se confirmó que el ataque es de alcance mundial: los países afectados incluyen a Canadá, el Reino Unido, Francia, Alemania, España, Hong Kong, China y Australia, aunque, por supuesto, el más afectado fue Estados Unidos. También se nombró a Latinoamérica como conjunto, sin detallar países, pero sí la cantidad total de usuarios alcanzados por el incidente: el sitio comprometido, Learning Lodge, tenía registradas 28.105 cuentas de padres y 36.716 perfiles de niños de la región.
"Nuestras bases de datos de Learning Lodge, Kid Connect y PlanetVTech no eran tan seguras como deberían haber sido"
"Lamentablemente, nuestras bases de datos de Learning Lodge, Kid Connect y PlanetVTech no eran tan seguras como deberían haber sido", admitió VTech. "Tras descubrir la brecha, realizamos inmediatamente una verificación completa del sitio afectado y hemos tomado acciones exhaustivas contra futuros ataques".
A pesar de que todas las contraseñas están cifradas, la empresa advirtió a sus clientes que las cambiaran, así como las de otros sitios en los que puedan haber utilizado las mismas credenciales.
VTech cree que ninguno de los datos comprometidos ha sido usado o distribuido con fines criminales: "Hemos convocado a especialistas legales de seguridad de datos que están en proceso de coordinación con las autoridades locales", señaló, y concluyó: "Estamos comprometidos a aprender de este incidente, haciendo las mejoras necesarias en la seguridad de nuestra red".