VTech

VTech werd in oktober 1976 in Hongkong opgericht door twee plaatselijke ondernemers, Allan Wong (Chi-Yun) en Stephen Leung. Toen begin jaren zeventig de eerste microprocessor met één chip, de “Intel 4004”, beschikbaar kwam, zag het bedrijf het potentieel ervan voor draagbare consumentenelektronicaproducten. Wong & Leung zette een kleine fabriek op in To Kwa Wan, met een investering van 40.000 USD en een personeelsbestand van 40 mensen. In het eerste jaar bedroeg de omzet minder dan US$1 miljoen.

VTech richtte zich aanvankelijk op de ontwikkeling van videospelletjes. In 1977 creëerde het bedrijf zijn eerste spelconsole voor thuis-tv, een versie van Pong. Aangezien alleen consumenten in Noord-Amerika en Europa zich dergelijke artikelen konden veroorloven, richtte het bedrijf zich voornamelijk op deze markten.

Het Verenigd Koninkrijk werd gekozen als eerste markt voor Pong, omdat Hongkong en het Verenigd Koninkrijk dezelfde standaard voor televisiesystemen gebruikten. In 1978 introduceerden de oprichters de door hen ontwikkelde LED-spellen bij kopers van RadioShack in de VS, die werden verkocht onder het merk RadioShack.

VTech begon vervolgens met het opbouwen van een eigen merk. Vanaf het begin van de jaren tachtig zou een lijn van elektronische spelletjes worden vervaardigd. VTech onthulde zijn eerste elektronische leerproduct, “Lesson One” genaamd, op de New York Toy Fair, in februari 1980. Het leerde kinderen basisvaardigheden op het gebied van spelling en wiskunde. Een exclusieve versie onder de naam “Computron” werd aangeboden aan Sears, en Sears adverteerde prominent voor het product in zijn catalogus, die een populaire koopgids was.

Vervolgens maakte VTech de videospelconsole CreatiVision. Een elektronisch product met een externe projector van het Franse bedrijf Ludotronic werd door VTech aangepast en in 1984 als “VTech ProScreen” verkocht, na de release van VTech’s Gamate en Variety handheld producten in het jaar daarvoor.

VTech ging zich vervolgens toeleggen op personal computers, waaronder een serie IBM-compatibele PC’s vanaf 1983, gevolgd door Apple II-compatibele computers, vanaf 1985, waaronder een model met de naam Laser 128.

VTech verliet de markt voor personal computers in 1997, als gevolg van de scherpe concurrentie.

In 1985 wees de Amerikaanse Federal Communications Commission (FCC) de frequentieband 900MHz toe aan ISM (industriële, wetenschappelijke en medische) apparatuur. VTech maakte hiervan gebruik en begon met de ontwikkeling van een draadloze telefoon die gebruik maakte van de 900 MHz-band, en introduceerde in 1991 ’s werelds eerste volledig digitale 900 MHz draadloze telefoon.

Om haar activiteiten op het gebied van draadloze telefoons uit te breiden, verwierf VTech in 2000 de activiteiten op het gebied van consumententelefoons van Lucent Technologies. De overname gaf VTech ook het exclusieve recht om gedurende 10 jaar het merk AT&T te gebruiken in verband met de productie en verkoop van draadloze telefoons en accessoires in de Verenigde Staten en Canada. Hoewel de overname de verkoop van VTech’s telecommunicatieproducten met 50% deed stijgen, leidde zij tot exploitatieverliezen en afschrijvingen. Het bedrijf gaf in maart 2001 een winstwaarschuwing en startte een breed herstructureringsplan. Tegen het boekjaar 2002 had het bedrijf het roer omgegooid en was het opnieuw winstgevend.

De kernactiviteiten van VTech blijven tegenwoordig draadloze telefoons en elektronische leerproducten. Ook haar contractproductiediensten – die diverse elektronische producten vervaardigen voor middelgrote ondernemingen – zijn een belangrijke bron van inkomsten geworden. Het bedrijf heeft zich geografisch gediversifieerd en verkoopt aan Noord-Amerika, Europa, Azië, Latijns-Amerika, het Midden-Oosten en Afrika.

2015 datalekEdit

In november 2015 meldde Lorenzo Bicchierai, schrijvend voor Vice magazine’s Motherboard, dat de servers van VTech waren gecompromitteerd en het bedrijf het slachtoffer was geworden van een datalek waarbij persoonlijke gegevens van 6,3 miljoen personen, waaronder kinderen, die zich hadden aangemeld voor of gebruik maakten van diensten die door het bedrijf werden geleverd in verband met verschillende producten die het vervaardigt, werden blootgesteld. Bicchierai werd eind november, in de week voor Thanksgiving, benaderd door de naamloze aanvaller, op welk moment de naamloze persoon informatie over de beveiligingslekken met de journalist onthulde en de inbreuk in detail beschreef.

Bicchierai reikte vervolgens de hand aan informatiebeveiligingsonderzoeker Troy Hunt om gegevens te onderzoeken die door de aanvaller aan Bicchierai waren verstrekt, en om te bevestigen of het lek inderdaad authentiek was en geen internet hoax. Hunt onderzocht de informatie en bevestigde dat deze authentiek leek te zijn. Hunt ontleedde de gegevens vervolgens in detail en publiceerde de bevindingen op zijn website. Volgens Hunt maakten de servers van VTech geen gebruik van elementaire SSL-encryptie om de persoonlijke gegevens tijdens de doorvoer van de apparaten naar de servers van VTech te beveiligen; VTech sloeg klantgegevens op in niet-versleutelde platte tekst en slaagde er niet in wachtwoorden veilig te hashen of te salten.

De aanval maakte gebruik van een SQL-injectie om geprivilegieerde root-toegang tot de servers van VTech te krijgen. Toen de aanvaller eenmaal bevoorrechte toegang had verkregen, exfiltreerde hij de gegevens, waaronder zo’n 190 gigabyte aan foto’s van kinderen en volwassenen, gedetailleerde chatlogs tussen ouders en kinderen die zich over een periode van jaren uitstrekten en spraakopnamen, allemaal onversleuteld en opgeslagen in platte tekst. De aanvaller deelde ongeveer 3.832 beeldbestanden met de journalist voor verificatiedoeleinden, en enkele bewerkte foto’s werden door de journalist gepubliceerd. In een reactie op het lek sprak de niet bij naam genoemde aanvaller zijn afschuw uit over het feit dat hij zo gemakkelijk toegang kon krijgen tot zo’n grote hoeveelheid gegevens: “Eerlijk gezegd word ik er ziek van dat ik al deze gegevens heb kunnen bemachtigen. VTech zou de zwarte piet toegespeeld moeten krijgen” en legden uit dat ze naar de pers waren gestapt omdat ze het gevoel hadden dat VTech hun rapporten en zorgen zou hebben genegeerd.

De bedrijfsbeveiliging van VTech wist niet dat hun systemen waren gecompromitteerd en de inbreuk werd voor het eerst onder hun aandacht gebracht nadat Bicchierai vóór de publicatie van het artikel contact met hen had opgenomen. Na kennisgeving, nam het bedrijf een tiental websites en diensten offline.

In een FAQ gepubliceerd door het bedrijf, verklaren ze dat ongeveer 4.854.209 accounts van ouders en 6.368.509 profielen van kinderen waren gecompromitteerd. Het bedrijf beweert verder dat de wachtwoorden waren versleuteld, wat in strijd is met de rapporten van de onafhankelijke beveiligingsonderzoeker waarmee Vice contact opnam. Het bedrijf gaf aan samen te werken met niet nader genoemde “lokale autoriteiten”. VTech schakelde vervolgens het informatiebeveiligingsbedrijf FireEye in om de respons op het incident te beheren en de beveiliging van hun platform in de toekomst te controleren.

Mark Nunnikhoven van Trend Micro bekritiseerde de manier waarop het bedrijf met het incident omging en noemde hun FAQ “wishy-washy corporate speak.”

De Amerikaanse senatoren Edward Markey en Joe Barton, medeoprichters van de Bi-Partisan Congressional Privacy Caucus, stuurden een open brief aan de onderneming waarin zij vroegen waarom en wat voor soort informatie van kinderen door VTech wordt opgeslagen en hoe zij deze gegevens gebruiken, welke beveiligingspraktijken worden toegepast om deze gegevens te beschermen, of de informatie van kinderen wordt gedeeld of verkocht aan derden en hoe de onderneming zich houdt aan de Children’s Online Privacy Protection Act.

In februari 2016 maakte Hunt bekend dat VTech zijn Algemene Voorwaarden voor nieuwe klanten had aangepast, zodat de klant erkent en ermee instemt dat alle informatie die aan VTech wordt doorgegeven, kan worden onderschept of later door onbevoegde partijen kan worden verkregen.

In januari 2018 legde de Amerikaanse Federal Trade Commission VTech een boete op van 650.000 dollar voor de inbreuk, ongeveer 0,09 dollar per slachtoffer.