VTech

VTech blev grundlagt i Hongkong i oktober 1976 af to lokale iværksættere, Allan Wong (Chi-Yun) og Stephen Leung. Da den første single-chip-mikroprocessor “Intel 4004” blev tilgængelig i begyndelsen af 1970’erne, så virksomheden det potentiale, den havde for bærbare forbrugerelektronikprodukter. Wong & Leung oprettede en lille fabrik i To Kwa Wan med en investering på 40 000 USD og et personale på 40 personer. I det første år var omsætningen mindre end 1 million USD.

VTech fokuserede i begyndelsen på at udvikle videospil. I 1977 skabte virksomheden sin første tv-spilkonsol til hjemmet, en version af Pong. Da det kun var forbrugere i Nordamerika og Europa, der havde råd til sådanne produkter, var virksomheden primært rettet mod disse markeder.

Det Forenede Kongerige blev valgt som det første marked for Pong, da Hongkong og Det Forenede Kongerige anvendte den samme standard for tv-systemer. I 1978 introducerede stifterne LED-spil, som de havde udviklet, til købere fra RadioShack i USA, som blev solgt under RadioShack-mærket.

VTech begyndte derefter at opbygge sit eget mærke. Fra begyndelsen af 1980’erne blev der fremstillet en serie af elektroniske spil. VTech afslørede sit første elektroniske læringsprodukt, kaldet “Lesson One”, på legetøjsmessen i New York i februar 1980. Det lærte børn grundlæggende stavning og matematik. En eksklusiv version under navnet “Computron” blev tilbudt Sears, og Sears reklamerede kraftigt for produktet i sit katalog, som var en populær indkøbsguide.

Dernæst lavede VTech videospilkonsollen CreatiVision. Et elektronisk produkt med en ekstern projektor fra det franske firma Ludotronic blev tilpasset af VTech og solgt som “VTech ProScreen” i 1984 efter udgivelsen af VTech’s håndholdte produkter Gamate og Variety året før.

VTech forgrenede sig derefter til personlige computere, herunder en serie af IBM-kompatible pc’er fra 1983, efterfulgt af Apple II-kompatible computere fra 1985, herunder en model kaldet Laser 128.

VTech trak sig ud af markedet for personlige computere i 1997 på grund af den hårde konkurrence.

I 1985 tildelte USA’s Federal Communications Commission (FCC) frekvensbåndet 900 MHz til ISM-udstyr (industrielt, videnskabeligt og medicinsk udstyr). VTech udnyttede dette og begyndte at udvikle en trådløs telefon på 900 MHz-båndet og introducerede i 1991 verdens første fuldt digitale trådløse 900 MHz-telefon.

For at udvide sin virksomhed inden for trådløse telefoner overtog VTech i 2000 Lucent Technologies’ virksomhed inden for forbrugertelefoner for at udvide sin virksomhed inden for trådløse telefoner. Ved denne overtagelse fik VTech også i 10 år eneret til at bruge AT&T-mærket i forbindelse med fremstilling og salg af trådløse telefoner og tilbehør i USA og Canada. Selv om overtagelsen øgede salget af VTech’s telekommunikationsprodukter med 50 %, førte den til driftstab og afskrivninger. Virksomheden udsendte en indtjeningsadvarsel i marts 2001 og iværksatte en omfattende omstruktureringsplan. I regnskabsåret 2002 havde virksomheden vendt skuden og vendte tilbage til rentabilitet.

I dag er VTech’s kerneaktiviteter fortsat trådløse telefoner og elektroniske læringsprodukter. Virksomhedens kontraktproduktionstjenester – som fremstiller forskellige elektroniske produkter på vegne af mellemstore virksomheder – er også blevet en vigtig indtægtskilde. Virksomheden har spredt sig geografisk og sælger til Nordamerika, Europa, Asien, Latinamerika, Mellemøsten og Afrika.

Databrud i 2015Rediger

I november 2015 rapporterede Lorenzo Bicchierai, der skrev for magasinet Vice’s Motherboard, at VTech’s servere var blevet kompromitteret, og at selskabet var offer for et databrud, som afslørede personlige data tilhørende 6,3 millioner personer, herunder børn, der tilmeldte sig eller benyttede sig af tjenester leveret af selskabet i forbindelse med flere produkter, som det fremstiller. Bicchierai blev kontaktet af den unavngivne angriber i slutningen af november i ugen før Thanksgiving, hvor den unavngivne person afslørede oplysninger om sikkerhedshuller hos journalisten og beskrev bruddet i detaljer.

Bicchierai kontaktede derefter informationssikkerhedsforsker Troy Hunt for at undersøge de data, som angriberen havde givet Bicchierai, og for at bekræfte, om lækagen faktisk var autentisk og ikke et internetfupnummer. Hunt undersøgte oplysningerne og bekræftede, at de virkede autentiske. Hunt analyserede derefter dataene i detaljer og offentliggjorde resultaterne på sit websted. Ifølge Hunt undlod VTech’s servere at anvende grundlæggende SSL-kryptering til at sikre de personlige data i transit fra enhederne til VTech’s servere; VTech opbevarede kundeoplysninger i ukrypteret klartekst og undlod at hashe eller salte adgangskoder sikkert.

Angrebet udnyttede en SQL-injektion til at få privilegeret root-adgang til VTech-servere. Når den privilegerede adgang var opnået, exfiltrerede angriberen data, herunder ca. 190 gigabyte fotografier af børn og voksne, detaljerede chatlogfiler mellem forældre og børn, som strakte sig over flere år, og stemmeoptagelser, som alle var ukrypterede og gemt i klartekst. Angriberen delte ca. 3 832 billedfiler med journalisten til kontrolformål, og nogle redigerede fotografier blev offentliggjort af journalisten. I en kommentar til lækagen udtrykte den unavngivne angriber sin afsky over at kunne få adgang til så store datamængder så let som muligt, idet han sagde “Helt ærligt, det gør mig syg, at jeg var i stand til at få adgang til alle disse ting. VTech burde få bogen smidt efter sig”, og forklarede, at de gik til pressen, fordi de mente, at VTech ville have ignoreret deres rapporter og bekymringer.

VTech’s sikkerhedsafdeling var ikke klar over, at deres systemer var blevet kompromitteret, og de blev først gjort opmærksom på bruddet efter at være blevet kontaktet af Bicchierai før offentliggørelsen af artiklen. Efter meddelelsen tog virksomheden en halv snes websteder og tjenester offline.

I en FAQ offentliggjort af virksomheden forklarer de, at omkring 4.854.209 konti tilhørende forældre og 6.368.509 profiler tilhørende børn var blevet kompromitteret. Virksomheden hævder endvidere, at adgangskoderne var blevet krypteret, hvilket er i modstrid med rapporter fra den uafhængige sikkerhedsforsker, som Vice har kontaktet. Virksomheden oplyste, at de arbejdede sammen med uspecificerede “lokale myndigheder”. VTech har efterfølgende hentet informationssikkerhedstjenestevirksomheden FireEye ind for at styre incidentresponsen og revidere sikkerheden på deres platform fremover.

Mark Nunnikhoven fra Trend Micro kritiserede virksomhedens håndtering af hændelsen og kaldte deres FAQ for “wishy-washy corporate speak”.”

De amerikanske senatorer Edward Markey og Joe Barton, som er medstiftere af det topartistiske Congressional Privacy Caucus, udsendte et åbent brev til virksomheden, hvori de spurgte, hvorfor og hvilke oplysninger om børn VTech gemmer, og hvordan de bruger disse oplysninger, hvilke sikkerhedsmetoder der anvendes for at beskytte disse oplysninger, om børns oplysninger deles eller sælges til tredjeparter, og hvordan virksomheden overholder Children’s Online Privacy Protection Act.

I februar 2016 offentliggjorde Hunt, at VTech havde ændret sine vilkår og betingelser for nye kunder, således at kunden anerkender og accepterer, at alle oplysninger, der sendes til VTech, kan blive opsnappet eller senere erhvervet af uautoriserede parter.

I januar 2018 idømte den amerikanske Federal Trade Commission VTech en bøde på 650.000 USD for bruddet, ca. 0,09 USD pr. offer.