We kunnen niet garanderen dat het effectief is om kinderen hun groenten te laten eten of hun huiswerk af te maken. Maar er is één omstandigheid waarin een moeder of vader ‘Omdat ik het zei…’ zegt. . . .” is de wet van het land. Als het gaat om het online verzamelen van persoonlijke informatie van kinderen onder de 13 jaar, is de Online privacybeschermingsregel voor kinderen (COPPA) geeft ouders de leiding.
Een FTC-rechtszaak tegen VTecheen grote naam op het gebied van elektronische leerproducten voor de Swingset Set, beweert dat het bedrijf COPPA en de FTC Act heeft geschonden door onder meer geen redelijke stappen te ondernemen om gevoelige gegevens van kinderen te beschermen. Een bijzondere zorg in dit geval is de FTC‘De eerste keer dat we te maken kregen met connected speelgoed – is de beschuldiging dat de overtredingen van VTech pas aan het licht kwamen nadat een hacker persoonlijke informatie had gestolen over kinderen en ouders die de producten van het bedrijf gebruikten.
Eerst wat achtergrond. VTech exploiteert Learning Lodge, een online platform waarmee klanten op kinderen gerichte apps, games, e-books, enz. kunnen downloaden op hun met VTech verbonden apparaten. Meer dan 2 miljoen ouders hebben Learning Lodge-accounts aangemaakt voor bijna 3 miljoen kinderen. Een populaire app is Kid Connect, waarmee kinderen dat kunnen versturen sms-berichten, audiobestanden, foto’s, enz. naar contacten die zijn goedgekeurd door mama of papa. Eenmaal geregistreerd kunnen kinderen ook berichten plaatsen op een elektronisch prikbord dat toegankelijk is voor mensen op de door de ouders goedgekeurde contactlijst.
Als een kind Kid Connect wilde gebruiken, moest een ouder zich van minimaal juli 2013 tot november 2015 aanmelden bij Learning Lodge. Voor de registratie was veel persoonlijke informatie nodig: de volledige naam van de ouder, het fysieke adres, het e-mailadres, het wachtwoord en een geheime vraag en antwoord om het wachtwoord op te vragen, evenals de naam van het kind, de geboortedatum en het geboortejaar en het geslacht. Ouders kunnen vervolgens een Kid Connect-account instellen door een e-mailadres, de gebruikersnaam en het wachtwoord van een ouder, de gebruikersnaam van een kind en een profielfoto van zowel de ouder als het kind in te voeren. (Daarnaast bood VTech een webgebaseerd platform aan genaamd Planet VTech. Ouders moesten ook een aanzienlijke hoeveelheid persoonlijke informatie verstrekken, waaronder de voornaam, inlognaam, wachtwoord en volledige geboortedatum van het kind.)
Waar beweert de FTC dat VTech fout is gegaan? Ten eerste zei het privacybeleid van VTech dat wanneer ouders persoonlijke informatie invoeren als onderdeel van het registratieproces voor Learning Lodge, Kid Connect of Planet VTech, “in de meeste gevallen” die informatie “versleuteld zal worden verzonden om uw privacy te beschermen met behulp van HTTPS-coderingstechnologie. ” Maar volgens de FTC waren de gegevens niet gecodeerd, waardoor de bewering van VTech op grond van de FTC Act onjuist is.
De klacht beschuldigt VTech ook van het overtreden van specifieke COPPA-bepalingen. Volgens de FTC is VTech er niet in geslaagd om op haar website voldoende informatie te verstrekken over de informatie die zij van kinderen verzamelt, hoe zij die informatie gebruikt en haar openbaarmakingspraktijken. Bovendien heeft VTech verzuimd ouders rechtstreeks op de hoogte te stellen van haar beleid.
De rechtszaak beweert ook dat VTech, toen mensen een Kid Connect-account aanmaakten, niet over een COPPA-conform mechanisme beschikte om te verifiëren dat de persoon die het account registreerde een ouder was en geen kind.
Eindelijk, Sectie 312.8 van de regel vereist dat onder COPPA vallende bedrijven zoals VTech “redelijke procedures opstellen en handhaven om de vertrouwelijkheid, veiligheid en integriteit van persoonlijke informatie die van kinderen wordt verzameld te beschermen.” In dit geval kon een hacker echter op afstand toegang krijgen tot de testomgeving van VTech en van daaruit toegang krijgen tot de live site. Daar bemachtigde de hacker de volledige namen, adressen, e-mailadressen, geheime vragen en gebruikersnamen van kinderen van ouders – die allemaal in duidelijke, leesbare tekst werden opgeslagen. Hoewel VTech wachtwoorden en kinderfoto’s en audiobestanden in een gecodeerd formaat opsloeg, bevatte een database waartoe de hacker toegang had, de decoderingssleutels voor foto’s en audio.
Bovendien zegt de FTC dat de informatie werd opgeslagen zodat de informatie van kinderen werd gekoppeld aan de informatie van hun ouders. Dat betekende bijvoorbeeld dat als een kind een foto had ingezonden via Kid Connect, de hacker die foto had kunnen vinden, samen met het thuisadres van het kind. Volgens de klacht wist VTech niet dat persoonlijke informatie uit zijn netwerk was gekopieerd totdat het bedrijf werd benaderd door een journalist.
Naast een civiele boete van $ 650.000, heeft de… voorgestelde schikking omvat procedures om toekomstige COPPA-naleving te garanderen. Eén opmerkelijke bepaling: een alomvattend programma voor gegevensbeveiliging, onderworpen aan onafhankelijke audits om de twee jaar gedurende de komende twintig jaar.
De zaken zijn uiteraard specifiek op feiten gebaseerd, maar het is de moeite waard om te kijken naar de beweringen van de FTC dat de beveiligingspraktijken van VTech tekortschoten. Elk van de aantijgingen van de klachten wijst op een gevestigd veiligheidsprincipe dat door de COPPA gedekte bedrijven – en andere bedrijven – in overweging zouden moeten nemen bij het evalueren van hun eigen procedures.
- De klacht beweert dat VTech er niet in is geslaagd een alomvattend informatiebeveiligingsprogramma te ontwikkelen, implementeren en onderhouden. Als het programma van uw bedrijf ergens in een bestand is opgeborgen, bedenk dan dat COPPA van beveiliging een ‘levend’ proces maakt. Het kan tijd zijn om uw programma opnieuw te bekijken in het licht van veranderingen in uw bedrijf en het veranderende dreigingslandschap.
- De klacht beweert dat VTech er niet in is geslaagd adequate maatregelen te nemen om zijn live website te segmenteren en te beschermen tegen de testomgeving. Die zorg zou moeten klinken bekend bij bedrijven die de FTC’s hebben gevolgd Begin met beveiliging En Blijf bij de beveiliging initiatieven. Effectieve netwerksegmentatie zou kunnen helpen voorkomen dat een ‘oeps’ zich ontwikkelt tot een regelrecht ‘uh-oh’.
- In de klacht wordt beweerd dat VTech niet beschikte over een inbraakdetectiesysteem. Als het inbraakalarm bij u thuis of op uw werkplek afgaat, schakelt u over op hoog alarm. FTC-zaken en richtlijnen voor bedrijven suggereren al jaren een soortgelijke reactie op ongeautoriseerde netwerktoegang. Zorgvuldige bedrijven hebben een systeem opgezet om hen te waarschuwen voor digitale overtreders.
- De klacht beweert dat VTech er niet in is geslaagd toezicht te houden op ongeoorloofde pogingen om persoonlijke informatie te exfiltreren. Zou u weten of een indringer uw netwerk probeert te bemachtigen? Er zijn tools die u kunnen waarschuwen wanneer iemand grote hoeveelheden gegevens probeert over te dragen.
- In de klacht wordt gesteld dat VTech heeft gefaald om kwetsbaarheids- en penetratietests uit te voeren om te zien hoe het netwerk bestand is tegen bekende kwetsbaarheden zoals SQL-injectie. Er is geen manier om een netwerk 100% hack-proof te maken, maar als Begin met beveiliging En Blijf bij de beveiliging suggereren dat er stappen zijn die u kunt nemen om gevoelige gegevens te beschermen tegen oude-maar-slechteriken zoals SQL-injectie-aanvallen.
- In de klacht wordt beweerd dat VTech er niet in is geslaagd redelijke begeleiding of training voor haar werknemers te implementeren. Beveiligingsbewuste bedrijven hebben een geheim wapen in de strijd om gevoelige gegevens te beschermen: een waterput-opgeleide arbeidskrachten. Of uw bedrijf nu wel of niet onder COPPA valt, heeft u beveiliging in uw hele bedrijf geïntegreerd? Zijn uw medewerkers duidelijk over uw verwachtingen?
De FTC beschikt over middelen om uw gegevensbeveiliging En COPPA inspanningen op het gebied van naleving. Is tijd van het grootste belang? Reserveer een paar minuten per dag om naar een van onze films te kijken video’s voor bedrijven.
