Berlin. Vom größten Anbieter von Lerncomputer lernen Käufer noch eine Lektion: Über das Netz übertragene Kundendaten sind oft nicht sicher.

Hacker haben offenbar Daten bei Spielzeughersteller VTech kopiert, mit denen sich in vielen Fällen weitgehende Informationen über Kinder gewinnen lassen. Fast fünf Millionen Eltern sind betroffen, in rund 200.000 Fällen können diese Daten aber einem Bericht zufolge mit den Daten von Kindern verknüpft werden. Auch deutsche Kunden haben Benachrichtigungen vom Hersteller erhalten, dass sie betroffen sind.

Die Tragweite des Datenlecks zeigt ein fiktives Beispiel: Jessica ist am 16. Oktober sieben Jahre alt geworden, ihre Lieblingsfarbe ist rot, und ihre Mutter Andrea Koslowski mit der E-Mail-Adresse jessica.koslo0815@buxtehude.com wohnt in der Lessingsstraße 247 in Buxtehude und nutzt das Passwort „Jessi2008“: Solche Verknüpfungen lassen sich nach Überzeugung des Sicherheitsexperten Troy Hunt mit den erbeuteten Datensätzen erstellen.

Offenbar am 14. November gelangten Unbekannte ins System von VTech und saugten die Informationen ab. Einem Journalisten der US-Seite Motherboard wurden die Daten zugespielt, wie Motherboard schreibt. Demnach tauchen darin die Informationen von 4.833.678 Eltern auf, die sich wegen Produkten ihrer Kinder bei VTech registriert haben. Dazu kommen die Daten von gut 200.000 Kindern. Er informierte am 23. November VTech, am 24. hatte das Unternehmen Gewissheit.

Problem lag beim App Download Manager

Die Schwachstelle war den Berichten zufolge der App Download Manager: Wer für ein gekauftes Gerät Lernsoftware oder E-Books laden will, muss die aus dem Onlineshop herunterladen und dafür ein Benutzerkonto anlegen. Auf diese Kundendaten haben sich Unbekannte Zugriff verschafft, räumt das Unternehmen ein. Sicherheitsfachmann Hunt kritisiert schlechte Sicherheitsvorkehrungen, so wurden Daten nicht verschlüsselt übertragen. Der Bezahlvorgang lief davon getrennt, an Kreditkartendaten gelangten die Unbekannten demnach nicht.

VTech hat den Download Manager in Deutschland vorerst abgeschaltet. Auf den Facebookseiten gab es darüber bereits einige Beschwerden. Die deutsche VTech-Seite hat mit einer etwas kryptischen Erklärung reagiert – man verstärke die Sicherheit.

Andere Kunden haben dagegen die Erklärung bereits per E-Mail bekommen: Sie gehören zu den Betroffenen. Am 27. November seien die Kunden informiert worden.

VTech schreibt die Kunden an: Kreditkarteninformationen wurden nicht erbeutet, etliche andere Informationen aber schon.
VTech schreibt die Kunden an: Kreditkarteninformationen wurden nicht erbeutet, etliche andere Informationen aber schon. © Screenshot

Troy Hunt verweist Kunden auch auf die Seite „Have I Been Pwned?“, mit der sich prüfen lässt, ob eigene Daten Teil einer gehackten Datenbank geworden sind. Dieser Seite zufolge ist es der viertgrößte Klau von Kundendaten im Netz.