We kunnen de doeltreffendheid ervan niet garanderen om kinderen hun groenten te laten eten of hun huiswerk af te maken. Maar er is een omstandigheid waarin een moeder of vader zegt: ‘Omdat ik het zei…’. het is de wet van het land. Als het gaat om het online verzamelen van persoonlijke informatie van kinderen onder de 13 jaar, is de Online privacybeleid voor kinderen (COPPA) legt de verantwoordelijkheid bij de ouders.
Een FTC-rechtszaak tegen VTecheen grote naam in elektronische leerproducten voor Swingset Set, beweert dat het bedrijf onder meer de COPPA en de FTC Act heeft geschonden door geen redelijke stappen te ondernemen om gevoelige gegevens van kinderen te beschermen. Een bijzondere zorg hier is de FTC‘Het eerste dat connected speelgoed aan de orde stelt, is de bewering dat de inbreuken op VTech pas aan het licht kwamen nadat een hacker persoonlijke informatie had gestolen over kinderen en ouders die de producten van het bedrijf gebruikten.
Eerst wat achtergrond. VTech exploiteert Learning Lodge, een online platform waarmee klanten apps, games, e-books enz. gericht op kinderen kunnen downloaden op hun met VTech verbonden apparaten. Ruim 2 miljoen ouders hebben Learning Lodge-accounts aangemaakt voor bijna 3 miljoen kinderen. Een populaire app is Kid Connect, waarmee kinderen dit kunnen doen Versturen sms-berichten, audiobestanden, foto’s, enz. naar contacten die zijn goedgekeurd door mama of papa. Eenmaal geregistreerd kunnen kinderen met toestemming van de ouders ook berichten plaatsen op een prikbord dat toegankelijk is voor mensen in hun contactenlijst.
Als een kind Kid Connect wilde gebruiken, moest een ouder zich van minimaal juli 2013 tot november 2015 registreren bij Learning Lodge. Voor de registratie was veel persoonlijke informatie nodig: de volledige naam van de ouder, het fysieke adres, het e-mailadres, het wachtwoord en vragen en antwoorden over geheime wachtwoordherstel, evenals de naam van het kind, de geboortedatum en het geboortejaar en het geslacht. Ouders kunnen vervolgens een Kid Connect-account instellen door een e-mailadres, de gebruikersnaam en het wachtwoord van een ouder, de gebruikersnaam van een kind en een profielfoto van zowel de ouder als het kind in te voeren. (Bovendien bood VTech een webgebaseerd platform aan genaamd Planet VTech. Ouders moesten ook een aanzienlijke hoeveelheid persoonlijke informatie verstrekken, waaronder de naam van het kind, de inlognaam, het wachtwoord en de volledige geboortedatum.)
Waar zegt de FTC dat VTech fout is gegaan? Ten eerste stelt het privacybeleid van VTech dat wanneer ouders persoonlijke informatie invoeren als onderdeel van het registratieproces voor Learning Lodge, Kid Connect of Planet VTech, “in de meeste gevallen” die informatie “versleuteld zal worden verzonden om uw privacy te beschermen met behulp van HTTPS-coderingstechnologie.” Maar volgens de FTC waren de gegevens niet gecodeerd, waardoor de bewering van VTech onder de FTC-wetgeving onjuist is.
DE klacht het beschuldigt VTech ook van het schenden van specifieke COPPA-bepalingen. Volgens de FTC heeft VTech op haar website onvoldoende informatie verstrekt over de informatie die het van kinderen verzamelt, hoe het die informatie gebruikt en de openbaarmakingspraktijken. Bovendien heeft VTech zijn beleid niet rechtstreeks aan ouders gecommuniceerd.
De rechtszaak beweert ook dat toen mensen een Kid Connect-account aanmaakten, VTech niet over een COPPA-conform mechanisme beschikte om te verifiëren dat de persoon die het account registreerde een ouder was en geen kind.
Eindelijk, Sectie 312.8 van de regel vereist dat bedrijven die onder de COPPA vallen, zoals VTech, “redelijke procedures opstellen en handhaven om de vertrouwelijkheid, veiligheid en integriteit van persoonlijke informatie die over kinderen wordt verzameld te beschermen.” In dit geval slaagde een hacker er echter in om op afstand toegang te krijgen tot de testomgeving van VTech en van daaruit toegang te krijgen tot de live site. Daar kreeg de hacker de volledige namen, adressen, e-mailadressen, geheime vragen en gebruikersnamen van de kinderen, allemaal opgeslagen in duidelijke, leesbare tekst. Hoewel VTech de wachtwoorden, foto’s en audiobestanden van kinderen in een gecodeerd formaat opsloeg, bevatte een database waartoe de hacker toegang had, decoderingssleutels voor de foto’s en audio.
Bovendien zegt de FTC dat de informatie werd opgeslagen zodat de informatie van kinderen werd gekoppeld aan de informatie van hun ouders. Dit betekende bijvoorbeeld dat als een kind een foto via Kid Connect stuurde, de hacker die foto kon vinden, samen met het huisadres van het kind. Volgens de klacht wist VTech niet dat persoonlijke informatie uit zijn netwerk was gekopieerd totdat het bedrijf werd benaderd door een verslaggever.
Naast een civiele boete van $ 650.000, heeft de… voorgestelde oplossing omvat procedures om toekomstige COPPA-naleving te garanderen. Eén opmerkelijke bepaling: een uitgebreid gegevensbeveiligingsprogramma dat de komende twintig jaar elke twee jaar aan onafhankelijke audits wordt onderworpen.
De gevallen zijn uiteraard specifiek op feiten gebaseerd, maar het is de moeite waard om te kijken waar de FTC beweert dat de beveiligingspraktijken van VTech tekortschoten. Elk van de aantijgingen in de klacht wijst op een gevestigd veiligheidsprincipe waarmee bedrijven die onder de COPPA vallen – en andere bedrijven – rekening moeten houden bij het evalueren van hun procedures.
- In de klacht wordt beweerd dat VTech er niet in is geslaagd een alomvattend informatiebeveiligingsprogramma te ontwikkelen, implementeren en onderhouden. Als het programma van uw bedrijf ergens in een bestand verborgen is, bedenk dan dat COPPA van beveiliging een ‘levend’ proces maakt. Het is wellicht tijd om uw programma te herzien in het licht van veranderingen in uw bedrijf en het veranderende dreigingslandschap.
- In de klacht wordt beweerd dat VTech geen adequate maatregelen heeft genomen om zijn live website te segmenteren en te beschermen tegen de testomgeving. Deze zorg zou moeten klinken bekend bij bedrijven die de FTC hebben gevolgd Begin met veiligheid EN Houd je aan de veiligheid initiatieven. Effectieve netwerksegmentatie kan helpen voorkomen dat een ‘oeps’ verandert in een regelrecht ‘uh-oh’.
- In de klacht wordt beweerd dat VTech niet over een inbraakdetectiesysteem beschikte. Als het inbraakalarm bij u thuis of op uw werkplek afgaat, gaat u zeer alert. FTC-zaken en richtlijnen voor bedrijven suggereren al jaren een soortgelijke reactie op ongeautoriseerde netwerktoegang. Zorgvuldige bedrijven hebben een systeem opgezet om hen te waarschuwen voor digitale inbreuken.
- De klacht beweert dat VTech er niet in is geslaagd toezicht te houden op ongeoorloofde pogingen om persoonlijke informatie te exfiltreren. Wilt u weten of een indringer een aanval op uw netwerk probeert uit te voeren? Er zijn tools die u kunnen waarschuwen wanneer iemand grote hoeveelheden gegevens probeert over te dragen.
- In de klacht wordt gesteld dat VTech heeft gefaald om kwetsbaarheids- en penetratietests uit te voeren om te zien hoe het netwerk bekende kwetsbaarheden zoals SQL-injectie kan weerstaan. Er is geen manier om een netwerk 100% hackerproof te maken, maar het is wel zo Begin met veiligheid EN Houd je aan de veiligheid Ik stel voor dat er stappen zijn die u kunt nemen om gevoelige gegevens te beschermen tegen oude maar slechteriken zoals SQL-injectieaanvallen.
- In de klacht wordt beweerd dat VTech geen redelijke begeleiding of training voor haar werknemers heeft geïmplementeerd. Beveiligingsbewuste bedrijven hebben een geheim wapen in de strijd om gevoelige gegevens te beschermen: een waterput-gekwalificeerd personeel. Heeft u, ongeacht of uw bedrijf wel of niet onder COPPA valt, beveiliging in uw hele bedrijf geïntegreerd? Zijn uw medewerkers duidelijk over uw verwachtingen?
De FTC beschikt over middelen om het uwe gemakkelijker te maken gegevensbeveiliging EN BEKER inspanningen op het gebied van naleving. Is tijd kostbaar? Reserveer een paar minuten per dag om naar een van ons te kijken video’s voor bedrijven.
