A Vtech, empresa sediada em Hong Kong que cria brinquedos electrónicos educacionais, foi alvo de um ataque informático que permitiu o acesso a dados de perto de cinco milhões de clientes espalhados por todo o mundo. A base de dados da sua loja online Learning Lodge foi atacada, tendo sido acedidos dados de consumidores, incluindo alguns pormenores sobre crianças.

Após o ataque, a empresa decidiu retirar 13 dos seus serviços online, por precaução, incluindo a Learning Lodge. De acordo com a mesma, entre os dados não se encontram informações sobre cartões de crédito ou números de Segurança Social, mas ficaram disponíveis nomes, endereços de email, passwords cifradas, endereço de IP, moradas ou histórico de downloads.

Entre os brinquedos que a Vtech cria estão produtos tecnológicos como câmaras fotográficas destinadas a crianças, tablets e relógios inteligentes, alguns com ligação à Internet. Os produtos podem ser adquiridos nas lojas onde a empresa tem representação ou através da sua loja online, onde os pais podem descarregar apps, ebooks e jogos para usar nos brinquedos da marca.

Segundo o site de notícias Motherboard, o hacker que teve acesso aos dados de perto de cinco milhões de pessoas e aos de mais de 200 mil crianças, conseguiu ainda aceder a milhares de fotografias de menores, tiradas pelos brinquedos da VTech e guardadas nos seus servidores, bem como os seus primeiros nomes ou datas de aniversário.

Um investigador citado pelo site, adiantou que analisou a versão da app da loja Learning Lodge para Android, que é destinada aos aparelhos dos pais das crianças, e descobriu que um dos erros principais que esta contém é a forma como lida com as fotografias tiradas pelos dispositivos. Segundo a mesma fonte, identificada apenas pelo pseudónimo Slipstream/RoL, a app com a qual os pais comunicam com as suas crianças usa um sistema de cifra "fraco" para proteger dados e fotos.

O investigador indicou ao Motherboard que foi possível ligar crianças aos pais após o ataque, tendo ficado expostas as identidades e os locais onde vivem.

Até agora, a VTech não confirmou nenhuma destas informações. Uma porta-voz da empresa indicou apenas em comunicado que, no passado dia 14 de Novembro, alguém não autorizado acedeu aos dados de consumidores do grupo através da base de dados da Learning Lodge, sem indicar se alguns dados foram perdidos durante essa acção, e comprometeu-se a investigar o sucedido.

Ao site, sob condição de anonimato, o alegado hacker que esteve na origem do ataque indicou que não pretende fazer nada com os dados a que teve acesso. A mesma fonte adiantou que usou uma técnica de injecções SQL, que aproveita defeitos na programação de bases de dados para activar o código malicioso. “Foi muito fácil aceder [à base de dados]; por isso qualquer pessoa com motivos obscuros pode facilmente chegar a ela”, admitiu.