We kunnen de doeltreffendheid ervan niet garanderen om kinderen hun groenten te laten eten of hun huiswerk af te maken. Maar er is één omstandigheid waarin een moeder of vader zegt: “omdat ik het zei…” is de wet van het land. Als het gaat om het online verzamelen van persoonlijke informatie van kinderen jonger dan 13 jaar, Online privacybeschermingsregel voor kinderen (COPPA) geeft ouders de verantwoordelijkheid.
Een FTC-zaak tegen VTecheen grote naam op het gebied van elektronische leerproducten voor de Swingset-kit, beweert dat het bedrijf COPPA en de FTC Act heeft geschonden door onder meer geen redelijke stappen te ondernemen om gevoelige gegevens van kinderen te beschermen. Een bijzondere zorg in dit geval: de FTC‘’s eerste poging tot connected speelgoed – is de bewering dat de overtredingen van VTech pas aan het licht kwamen nadat een hacker persoonlijke informatie had gestolen over kinderen en ouders die de producten van het bedrijf gebruikten.
Eerst een beetje achtergrond. VTech exploiteert Learning Lodge, een online platform waarmee klanten kindgerichte apps, games, e-books, enz. kunnen downloaden op hun met VTech verbonden apparaten. Meer dan 2 miljoen ouders hebben Learning Lodge-accounts aangemaakt voor bijna 3 miljoen kinderen. Een populaire app is Kid Connect, waarmee kinderen precies dat kunnen doen versturen sms-berichten, audiobestanden, afbeeldingen, enz. naar contacten die zijn goedgekeurd door mama of papa. Eenmaal geregistreerd kunnen kinderen ook berichten plaatsen op een elektronisch prikbord dat toegankelijk is voor mensen op de contactlijst met ouderlijke OK.
Als een kind van juli 2013 tot november 2015 gebruik wilde maken van Kid Connect, moest een ouder zich aanmelden bij de Learning Lodge. Voor de registratie was veel persoonlijke informatie nodig: de volledige naam van de ouder, het fysieke adres, het e-mailadres, het wachtwoord en een geheime vraag en antwoord om het wachtwoord op te vragen, evenals de naam van het kind, de geboortedatum en het geboortejaar en het geslacht. Ouders kunnen vervolgens een Kid Connect-account aanmaken door een e-mailadres, de gebruikersnaam en het wachtwoord van een ouder, de gebruikersnaam van een kind en een profielfoto van zowel de ouder als het kind in te voeren. (Daarnaast bood VTech een webgebaseerd platform aan genaamd Planet VTech. Ouders moesten ook een aanzienlijke hoeveelheid persoonlijke informatie verstrekken, waaronder de voornaam van het kind, de inlognaam, het wachtwoord en de volledige geboortedatum.)
Waar beweert de FTC dat VTech fout is gegaan? Ten eerste zei het privacybeleid van VTech dat wanneer ouders persoonlijke informatie invoeren als onderdeel van het registratieproces van Learning Lodge, Kid Connect of Planet VTech, “in de meeste gevallen” die informatie “versleuteld zal worden verzonden om uw privacy te beschermen met behulp van HTTPS-coderingstechnologie.” Maar volgens de FTC waren de gegevens niet gecodeerd, waardoor de bewering van VTech op grond van de FTC Act onjuist is.
De klacht beschuldigt VTech ook van het schenden van specifieke COPPA-bepalingen. Volgens de FTC is VTech er niet in geslaagd om op haar website voldoende informatie te verstrekken over de informatie die het van kinderen verzamelt, hoe het die informatie gebruikt en de openbaarmakingspraktijken. Bovendien slaagde VTech er niet in haar beleid rechtstreeks aan ouders te communiceren.
De rechtszaak beweert ook dat toen mensen een Kid Connect-account aanmaakten, VTech niet over een COPPA-conform mechanisme beschikte om te verifiëren dat de persoon die het account registreerde een ouder was en geen kind.
Eindelijk, Sectie 312.8 de regel vereist dat onder COPPA vallende bedrijven zoals VTech “redelijke procedures opstellen en handhaven om de vertrouwelijkheid, veiligheid en integriteit van persoonlijke informatie die van kinderen wordt verzameld” te beschermen. Maar in dit geval kon een hacker op afstand toegang krijgen tot de testomgeving van VTech en van daaruit toegang krijgen tot de live site. Hier heeft de hacker de volledige namen, adressen, e-mailadressen, geheime vragen en gebruikersnamen van kinderen van ouders bemachtigd – allemaal opgeslagen in duidelijke, leesbare tekst. Hoewel VTech wachtwoorden en kinderfoto’s en audiobestanden in een gecodeerd formaat opsloeg, bevatte een database waartoe de hacker toegang had, decoderingssleutels voor de foto’s en audio.
Bovendien zegt de FTC dat de informatie zo werd opgeslagen dat de informatie van kinderen werd gekoppeld aan de informatie van hun ouders. Dit betekende bijvoorbeeld dat als een kind een foto had ingezonden via Kid Connect, de hacker die foto had kunnen vinden samen met het huisadres van het kind. Volgens de klacht wist VTech niet dat persoonlijke informatie uit zijn netwerk was gekopieerd totdat het bedrijf werd benaderd door een verslaggever.
Naast een civielrechtelijke boete van $ 650.000 voorgestelde schikking procedures omvatten om toekomstige COPPA-naleving te garanderen. Eén opmerkelijke bepaling: een uitgebreid gegevensbeveiligingsprogramma dat de komende twintig jaar elke twee jaar aan onafhankelijke audits wordt onderworpen.
De zaken zijn uiteraard specifiek op feiten gebaseerd, maar het is de moeite waard om te kijken waar de FTC beweert dat de beveiligingspraktijken van VTech tekortschoten. Elk van de aantijgingen van de klachten wijst op een gevestigd veiligheidsprincipe dat door de COPPA gedekte bedrijven – en andere bedrijven – in overweging moeten nemen bij het evalueren van hun eigen procedures.
- In de klacht wordt beweerd dat VTech er niet in is geslaagd een alomvattend informatiebeveiligingsprogramma te ontwikkelen, implementeren en onderhouden. Als het programma van uw bedrijf ergens in een bestand is weggestopt, bedenk dan dat COPPA van beveiliging een ‘levend’ proces maakt. Het kan tijd zijn om uw programma opnieuw te bekijken in het licht van veranderingen in uw bedrijf en het veranderende dreigingslandschap.
- De klacht beweert dat VTech er niet in is geslaagd adequate maatregelen te implementeren om zijn live-site te segmenteren en te beschermen tegen de testomgeving. Die zorg zou moeten klinken bekend bij bedrijven die de FTC’s hebben gevolgd Begin met veiligheid En Houd je aan de veiligheid initiatieven. Effectieve netwerksegmentatie kan helpen voorkomen dat een ‘oeps’ zich ontwikkelt tot een regelrecht ‘uh-oh’.
- In de klacht wordt beweerd dat VTech niet over een inbraakdetectiesysteem beschikte. Als het inbraakalarm thuis of op het werk afging, schakel je over op hoog alarm. Jarenlang hebben FTC-zaken en richtlijnen voor bedrijven een soortgelijke reactie op ongeoorloofde netwerktoegang gesuggereerd. Zorgvuldige bedrijven beschikken over een systeem dat hen waarschuwt voor digitale indringers.
- De klacht beweert dat VTech er niet in is geslaagd toezicht te houden op ongeoorloofde pogingen om persoonlijke informatie te exfiltreren. Wilt u weten of een indringer geprobeerd heeft uw netwerk te bemachtigen? Er zijn tools die u kunnen waarschuwen wanneer iemand grote hoeveelheden gegevens probeert over te dragen.
- In de klacht wordt gesteld dat VTech heeft gefaald om kwetsbaarheids- en penetratietests uit te voeren om te zien hoe het netwerk met bekende kwetsbaarheden zoals SQL-injectie kan omgaan. Er is geen manier om een netwerk 100% hack-proof te maken, maar als Begin met veiligheid En Houd je aan de veiligheid suggereert dat er stappen zijn die u kunt nemen om gevoelige gegevens te beschermen tegen oude-maar-slechteriken zoals SQL-injectieaanvallen.
- In de klacht wordt beweerd dat VTech er niet in is geslaagd redelijke begeleiding of training voor haar werknemers te implementeren. Beveiligingsbewuste bedrijven hebben een geheim wapen in de strijd om gevoelige gegevens te beschermen: een waterput-geschoold personeel. Heeft u, ongeacht of uw bedrijf wel of niet onder COPPA valt, beveiliging in uw hele bedrijf geïntegreerd? Zijn uw medewerkers op de hoogte van uw verwachtingen?
De FTC beschikt over middelen om uw gegevensbeveiliging En COPPA inspanningen op het gebied van naleving. Is tijd een premie? Reserveer een paar minuten per dag om een van ons te zien video’s voor bedrijven.
