No início deste mês, um hacker desconhecido invadiu bancos de dados contendo informações sobre clientes de uma fabricante de brinquedos chineses, VTech. Dentre os dados roubados, estão os registros de 5 milhões de pais e mais de 200.000 crianças.

Juntamente com os dados de conta, tais como nomes de usuário e senhas, o fabricante de brinquedos também armazenava dados pessoais, incluindo nomes, endereços de e-mail, endereços físicos e endereços de ip dos clientes. Particularmente preocupante é que as identidades das crianças podem ser combinadas com os respectivos pais usando os dados. Ou seja, um prato cheio para criminosos que tem crianças como alvo.

O indivíduo que assumiu a responsabilidade pela violação forneceu os arquivos contendo os dados ao site Motherboard na semana passada. O hacker, porém, alega que compartilhou as informações apenas com o site, mas disse que seria trivial para que outros menos bem-intencionados possam também fazer o mesmo devido a fraca segurança do site.

O Motherboard perguntou ainda o que o hacker pretende fazer com os dados obtidos, e a resposta foi simplesmente "nada".

A VTech confirmou a violação em um e-mail na quinta-feira, dias depois que o Motherboard entrou em contato com a empresa, mas eles não estavam cientes do ataque ainda, de acordo com o porta-voz da VTech Grace Pang, que escreveu por e-mail.

Em 14 de novembro uma pessoa não autorizada acessou os dados de clientes da VTech no banco de dados da nossa loja de aplicativos Learning Lodge. Não estávamos cientes deste acesso não autorizado até você nos alertar.

A VTech anunciou a brecha publicamente na sexta-feira, mas não divulgou a gravidade totalmente. O comunicado não menciona quantos registros foram roubados, nem que as senhas são mal criptografadas, ou que a brecha expõe as identidades das crianças. O analista Troy Hunt, que conferiu os dados obtidos, considerou a segurança da empresa "muito negligente", e acrescentou que "obviamente fizeram um péssimo trabalho em armazenar senhas."

• Hackers alegadamente "fazem" US$ 4 milhões por dia com vírus de Android

Para Hunt, o elemento mais preocupante da violação é o fato de que ele contém dados sobre as crianças, e que é possível relacionar esses dados com os de seus pais, tornando possível descobrir nome completo de uma criança e endereço residencial. Isso não parece ser algo que os pais concordaram ao se tornarem clientes da empresa. O site Motherboard conseguiu entrar em contato com alguns dos pais, e eles demonstraram surpresa, como o caso de Cathryn Edwards, uma mãe do Reino Unido.

Fiquei surpresa e chocada ao ver meus dados violados em um "site amigável para crianças"

A história é preocupante porque dados como esses colocam em risco a segurança de crianças, muitas vezes alvos de sequestradores ou trotes de sequestro, que tentam receber um resgate dos pais apenas fornecendo algumas informações corretas, fazendo-os acreditar que seus filhos foram de fato sequestrados. De acordo com o hacker, que pediu para ser mantido o anonimato, a técnica utilizada para invadir o banco de dados foi uma simples injeção SQL.

Uma vez que empresas como essa não adotam medidas mais segura de proteção de dados, é possível que hackers mal intencionados passem a se dedicar mais a invadir esse tipo de conteúdo. Ainda que eles não façam nada efetivamente contra as pessoas cujas informações foram roubadas, uma prática comum é vendê-las para quem tiver dinheiro para pagar na Deep Web, geralmente em bitcoins.