VTech

VTech wurde im Oktober 1976 von zwei lokalen Unternehmern, Allan Wong (Chi-Yun) und Stephen Leung, in Hongkong gegründet. Als Anfang der 1970er Jahre der erste Ein-Chip-Mikroprozessor „Intel 4004“ auf den Markt kam, erkannte das Unternehmen das Potenzial, das er für tragbare Unterhaltungselektronikprodukte bot. Wong & Leung errichtete eine kleine Fabrik in To Kwa Wan mit einer Investition von 40.000 US$ und 40 Mitarbeitern. Im ersten Jahr betrug der Umsatz weniger als 1 Million US-Dollar.

VTech konzentrierte sich zunächst auf die Entwicklung von Videospielen. Im Jahr 1977 entwickelte das Unternehmen seine erste TV-Spielkonsole für den Heimgebrauch, eine Version von Pong. Da sich nur Verbraucher in Nordamerika und Europa solche Geräte leisten konnten, richtete sich das Unternehmen in erster Linie an diese Märkte.

Das Vereinigte Königreich wurde als erster Markt für Pong ausgewählt, da Hongkong und Großbritannien denselben Standard für Fernsehsysteme verwendeten. 1978 brachten die Gründer die von ihnen entwickelten LED-Spiele zu den Käufern von RadioShack in den USA, die unter der Marke RadioShack verkauft wurden.

VTech begann dann, seine eigene Marke aufzubauen. Ab den frühen 1980er Jahren wurde eine Reihe von elektronischen Spielen hergestellt. Auf der New Yorker Spielwarenmesse im Februar 1980 stellte VTech sein erstes elektronisches Lernprodukt mit dem Namen „Lesson One“ vor. Es lehrte Kinder grundlegende Rechtschreibung und Mathematik. Eine exklusive Version unter dem Namen „Computron“ wurde Sears angeboten, und das Produkt wurde von Sears in seinem Katalog, der ein beliebter Einkaufsführer war, prominent beworben.

Als nächstes stellte VTech die Videospielkonsole CreatiVision her. Ein elektronisches Produkt mit externem Projektor der französischen Firma Ludotronic wurde von VTech adaptiert und 1984 als „VTech ProScreen“ verkauft, nachdem VTech im Jahr zuvor die Handheld-Produkte Gamate und Variety auf den Markt gebracht hatte.

VTech verzweigte sich dann in den Bereich der Personal Computer, einschließlich einer Reihe von IBM-kompatiblen PCs ab 1983, gefolgt von Apple-II-kompatiblen Computern ab 1985, darunter ein Modell namens Laser 128.

VTech stieg 1997 aufgrund des starken Wettbewerbs aus dem Markt für Personal Computer aus.

Im Jahr 1985 wies die Federal Communications Commission (FCC) der Vereinigten Staaten das Frequenzband 900 MHz für ISM-Geräte (Industrie, Wissenschaft und Medizin) zu. VTech machte sich dies zunutze und begann mit der Entwicklung eines schnurlosen Telefons, das das 900-MHz-Band nutzte, und stellte 1991 das weltweit erste volldigitale schnurlose 900-MHz-Telefon vor.

Im Jahr 2000 erwarb VTech das Verbrauchertelefongeschäft von Lucent Technologies, um sein Geschäft mit schnurlosen Telefonen auszubauen. Mit der Übernahme erhielt VTech auch das Exklusivrecht für 10 Jahre, die Marke AT&T in Verbindung mit der Herstellung und dem Verkauf von drahtgebundenen Telefonen und Zubehör in den Vereinigten Staaten und Kanada zu verwenden. Obwohl die Übernahme den Umsatz der Telekommunikationsprodukte von VTech um 50 % steigerte, führte sie zu Betriebsverlusten und Wertberichtigungen. Im März 2001 gab das Unternehmen eine Gewinnwarnung heraus und leitete einen umfassenden Umstrukturierungsplan ein. Bis zum Geschäftsjahr 2002 hatte das Unternehmen den Turnaround geschafft und kehrte in die Gewinnzone zurück.

Heute sind die Kerngeschäfte von VTech weiterhin schnurlose Telefone und elektronische Lernprodukte. Die Auftragsfertigung, bei der verschiedene elektronische Produkte im Auftrag mittelständischer Unternehmen hergestellt werden, hat sich ebenfalls zu einer wichtigen Einnahmequelle entwickelt. Das Unternehmen hat sich geografisch diversifiziert und vertreibt seine Produkte in Nordamerika, Europa, Asien, Lateinamerika, im Nahen Osten und in Afrika.

2015 data breachEdit

Im November 2015 berichtete Lorenzo Bicchierai, der für das Motherboard des Magazins Vice schrieb, dass die Server von VTech kompromittiert worden waren und das Unternehmen Opfer einer Datenpanne wurde, bei der personenbezogene Daten von 6,3 Millionen Personen, darunter auch Kinder, offengelegt wurden, die sich für Dienste des Unternehmens im Zusammenhang mit mehreren von ihm hergestellten Produkten angemeldet oder diese genutzt hatten. Bicchierai wurde Ende November, in der Woche vor Thanksgiving, von dem ungenannten Angreifer kontaktiert, der den Journalisten über die Sicherheitslücken informierte und die Sicherheitsverletzung schilderte.

Bicchierai wandte sich daraufhin an den Informationssicherheitsforscher Troy Hunt, um die Daten zu prüfen, die der Angreifer Bicchierai zur Verfügung gestellt hatte, und um festzustellen, ob das Datenleck tatsächlich authentisch und kein Internet-Schwindel war. Hunt untersuchte die Informationen und bestätigte, dass sie authentisch zu sein schienen. Anschließend analysierte Hunt die Daten im Detail und veröffentlichte die Ergebnisse auf seiner Website. Laut Hunt verwendeten die Server von VTech keine grundlegende SSL-Verschlüsselung, um die persönlichen Daten bei der Übertragung von den Geräten zu den VTech-Servern zu schützen; VTech speicherte Kundeninformationen im unverschlüsselten Klartext und versäumte es, Passwörter sicher zu hacken oder zu verschlüsseln.

Der Angriff nutzte eine SQL-Injektion, um privilegierten Root-Zugriff auf die VTech-Server zu erhalten. Sobald der Angreifer privilegierten Zugriff erlangt hatte, exfiltrierte er die Daten, darunter etwa 190 Gigabyte an Fotos von Kindern und Erwachsenen, detaillierte Chatprotokolle zwischen Eltern und Kindern, die sich über Jahre erstreckten, sowie Sprachaufzeichnungen, die alle unverschlüsselt und im Klartext gespeichert waren. Der Angreifer übermittelte dem Journalisten etwa 3.832 Bilddateien zur Überprüfung, und einige geschwärzte Fotos wurden von dem Journalisten veröffentlicht. In einem Kommentar zu dem Leck drückte der nicht namentlich genannte Angreifer seine Abscheu darüber aus, dass er sich so einfach Zugang zu einem so großen Datenbestand verschaffen konnte: „Ehrlich gesagt macht es mich krank, dass ich in der Lage war, all dieses Zeug zu bekommen. Sie erklärten, dass sie sich an die Presse gewandt haben, weil sie der Meinung waren, dass VTech ihre Berichte und Bedenken ignoriert hätte.

Die Sicherheitsbehörden von VTech wussten nicht, dass ihre Systeme kompromittiert worden waren, und sie wurden erst auf den Verstoß aufmerksam, als sie von Bicchierai vor der Veröffentlichung des Artikels kontaktiert wurden. Nach der Benachrichtigung nahm das Unternehmen etwa ein Dutzend Websites und Dienste vom Netz.

In einer vom Unternehmen veröffentlichten FAQ wird erklärt, dass etwa 4.854.209 Konten von Eltern und 6.368.509 Profile von Kindern kompromittiert worden waren. Das Unternehmen behauptet außerdem, die Passwörter seien verschlüsselt worden, was im Gegensatz zu den Berichten des von Vice kontaktierten unabhängigen Sicherheitsforschers steht. Das Unternehmen gab an, dass es mit nicht näher bezeichneten „lokalen Behörden“ zusammenarbeite. VTech beauftragte daraufhin das Informationssicherheitsunternehmen FireEye mit der Reaktion auf den Vorfall und der Überprüfung der Sicherheit seiner Plattform.

Mark Nunnikhoven von Trend Micro kritisierte den Umgang des Unternehmens mit dem Vorfall und bezeichnete die FAQ als „wischiwaschihafte Unternehmenssprache“.“

Die US-Senatoren Edward Markey und Joe Barton, Mitbegründer des überparteilichen Congressional Privacy Caucus, richteten einen offenen Brief an das Unternehmen, in dem sie sich erkundigten, warum und welche Art von Informationen über Kinder von VTech gespeichert werden und wie diese Daten verwendet werden, welche Sicherheitspraktiken zum Schutz dieser Daten angewandt werden, ob die Informationen der Kinder an Dritte weitergegeben oder verkauft werden und wie das Unternehmen den Children’s Online Privacy Protection Act einhält.

Im Februar 2016 gab Hunt bekannt, dass VTech seine Geschäftsbedingungen für Neukunden dahingehend geändert hat, dass der Kunde anerkennt und zustimmt, dass alle an VTech übermittelten Informationen abgefangen oder später von Unbefugten erworben werden können.

Im Januar 2018 verhängte die US Federal Trade Commission eine Geldstrafe in Höhe von 650.000 US-Dollar gegen VTech wegen des Verstoßes, was etwa 0,09 US-Dollar pro Opfer entspricht.