VTech

VTech fu fondata a Hong Kong nell’ottobre 1976 da due imprenditori locali, Allan Wong (Chi-Yun) e Stephen Leung. Quando il primo microprocessore single-chip “Intel 4004” divenne disponibile nei primi anni ’70, l’azienda vide il potenziale che offriva per i prodotti portatili di elettronica di consumo. Wong & Leung mise su una piccola fabbrica a To Kwa Wan, con un investimento di 40.000 dollari e uno staff di 40 persone. Nel primo anno, il fatturato era inferiore a 1 milione di dollari.

VTech si concentrò inizialmente sullo sviluppo di videogiochi. Nel 1977, l’azienda creò la sua prima console di gioco per la TV domestica, una versione di Pong. Poiché solo i consumatori del Nord America e dell’Europa potevano permettersi tali articoli, l’azienda si rivolse principalmente a questi mercati.

Il Regno Unito fu scelto come primo mercato per Pong, poiché Hong Kong e il Regno Unito usavano lo stesso standard per i sistemi televisivi. Nel 1978, i fondatori introdussero i giochi a LED che avevano sviluppato agli acquirenti di RadioShack negli Stati Uniti, che furono venduti con il marchio RadioShack.

VTech iniziò quindi a costruire il proprio marchio. A partire dai primi anni ’80, sarebbe stata prodotta una linea di giochi elettronici. VTech ha presentato il suo primo prodotto di apprendimento elettronico, chiamato “Lesson One”, alla Fiera del Giocattolo di New York, nel febbraio 1980. Insegnava ai bambini l’ortografia e la matematica di base. Una versione esclusiva sotto il nome di “Computron” fu offerta a Sears, con il prodotto pubblicizzato in modo prominente da Sears, nel suo catalogo, che era una popolare guida allo shopping.

Successivamente VTech realizzò la console per videogiochi CreatiVision. Un prodotto elettronico con un proiettore esterno della società francese Ludotronic fu adattato da VTech e venduto come “VTech ProScreen” nel 1984, dopo l’uscita dei prodotti palmari VTech Gamate e Variety l’anno precedente.

VTech si ramificò poi nei personal computer, compresa una serie di PC compatibili IBM a partire dal 1983, seguita da computer compatibili Apple II, a partire dal 1985, compreso un modello chiamato Laser 128.

VTech uscì dal mercato dei personal computer nel 1997, a causa della forte concorrenza.

Nel 1985, la Federal Communications Commission (FCC) degli Stati Uniti assegnò la banda di frequenza 900MHz ai dispositivi ISM (industriali, scientifici e medici). Approfittando di questo, VTech ha iniziato lo sviluppo di un telefono cordless, utilizzando la banda 900 MHz, e nel 1991 ha introdotto il primo telefono cordless 900 MHz completamente digitale al mondo.

Nel 2000, per espandere il suo business dei telefoni cordless, VTech ha acquisito il business dei telefoni consumer di Lucent Technologies. L’acquisizione ha anche dato a VTech il diritto esclusivo per 10 anni di usare il marchio AT&T in combinazione con la produzione e la vendita di telefoni a filo e accessori negli Stati Uniti e in Canada. Anche se l’acquisizione ha aumentato le vendite dei prodotti di telecomunicazione di VTech del 50%, ha portato a perdite operative e cancellazioni. La società emise un avviso di profitto nel marzo 2001 e lanciò un ampio piano di ristrutturazione. Entro l’anno finanziario 2002, l’azienda aveva girato il business ed era tornata alla redditività.

Oggi, le attività principali di VTech rimangono i telefoni senza fili e i prodotti elettronici di apprendimento. I suoi servizi di produzione a contratto – che produce vari prodotti elettronici per conto di aziende di medie dimensioni, è diventato anche una fonte importante di entrate. L’azienda ha diversificato geograficamente, vendendo in Nord America, Europa, Asia, America Latina, Medio Oriente e Africa.

2015 data breachEdit

Nel novembre 2015, Lorenzo Bicchierai, scrivendo per Motherboard della rivista Vice, ha riferito che i server di VTech erano stati compromessi e la società è stata vittima di una violazione dei dati che ha esposto i dati personali appartenenti a 6,3 milioni di individui, compresi i bambini, che si sono iscritti o hanno utilizzato servizi forniti dalla società relativi a diversi prodotti che produce. Bicchierai è stato contattato dall’aggressore senza nome alla fine di novembre, durante la settimana prima del Ringraziamento, a quel punto l’individuo senza nome ha rivelato informazioni sulle vulnerabilità di sicurezza con il giornalista e ha dettagliato la violazione.

Bicchierai ha poi raggiunto il ricercatore di sicurezza delle informazioni Troy Hunt per esaminare i dati forniti dall’attaccante a Bicchierai, e per confermare se la perdita era davvero autentica e non una bufala internet. Hunt ha esaminato le informazioni e ha confermato che sembravano essere autentiche. Hunt ha poi sezionato i dati in dettaglio e pubblicato i risultati sul suo sito web. Secondo Hunt, i server di VTech non sono riusciti a utilizzare la crittografia SSL di base per proteggere i dati personali in transito dai dispositivi ai server di VTech; che VTech ha memorizzato le informazioni dei clienti in chiaro non crittografato, non è riuscito a sicuro hash o sale le password.

L’attacco ha sfruttato un’iniezione SQL per ottenere l’accesso root privilegiato ai server VTech. Una volta acquisito l’accesso privilegiato, l’aggressore ha esfiltrato i dati, tra cui circa 190 gigabyte di fotografie di bambini e adulti, registri dettagliati di chat tra genitori e figli che si estendevano nel corso degli anni e registrazioni vocali, tutti non crittografati e memorizzati in chiaro. L’aggressore ha condiviso circa 3.832 file di immagini con il giornalista a scopo di verifica, e alcune fotografie redatte sono state pubblicate dal giornalista. Commentando la fuga di notizie, l’aggressore senza nome ha espresso il suo disgusto per essere stato in grado di ottenere così facilmente l’accesso a un così grande insieme di dati, dicendo: “Francamente, mi fa schifo il fatto di essere stato in grado di ottenere tutta questa roba. VTech dovrebbe avere il libro contro di loro” e ha spiegato la loro motivazione per andare alla stampa era perché sentivano VTech avrebbe ignorato le loro segnalazioni e preoccupazioni.

VTech sicurezza aziendale non era a conoscenza dei loro sistemi erano stati compromessi e la violazione è stata portata alla loro attenzione dopo essere stato contattato da Bicchierai prima della pubblicazione dell’articolo. Dopo la notifica, la società ha preso una dozzina di siti web e servizi offline.

In una FAQ pubblicata dalla società, spiegano che circa 4.854.209 account appartenenti ai genitori e 6.368.509 profili appartenenti ai bambini sono stati compromessi. L’azienda sostiene inoltre che le password erano state criptate, il che è in contrasto con i rapporti del ricercatore di sicurezza indipendente contattato da Vice. La società ha indicato che stavano lavorando con non meglio specificate “autorità locali”. VTech ha successivamente portato la società di servizi di sicurezza delle informazioni FireEye per gestire la risposta all’incidente e verificare la sicurezza della loro piattaforma andando avanti.

Mark Nunnikhoven di Trend Micro ha criticato la gestione della società dell’incidente e chiamato le loro FAQ “wishy-washy corporate speak.”

I senatori degli Stati Uniti Edward Markey e Joe Barton, co-fondatori del Bi-Partisan Congressional Privacy Caucus, hanno pubblicato una lettera aperta alla società chiedendo perché e che tipo di informazioni appartenenti ai bambini sono memorizzate da VTech e come vengono utilizzati questi dati, le pratiche di sicurezza impiegate per proteggere tali dati, se le informazioni dei bambini sono condivise o vendute a terzi e come la società è conforme al Children’s Online Privacy Protection Act.

Nel febbraio 2016, Hunt ha reso pubblico il fatto che VTech aveva modificato i suoi Termini e condizioni per i nuovi clienti in modo che il cliente riconosca e accetti che qualsiasi informazione trasmessa a VTech possa essere intercettata o successivamente acquisita da parti non autorizzate.

Nel gennaio 2018 la Federal Trade Commission statunitense ha multato VTech di 650.000 dollari per la violazione, circa 0,09 dollari per vittima.