Un intruso informatico è entrato nei server della VTech, una società con sede a Hong Kong che fabbrica tablet, telefonini, gadget e giocattoli collegabili a Internet, e ha scoperto che la società archiviava nomi, indirizzi di e-mail, password e indirizzi di casa di milioni di acquirenti e i nomi e le voci e le foto dei loro figli. Disgustato dalla scoperta, l’ha segnalata ai giornalisti di Motherboard, che hanno reso pubblica questa violazione della fiducia degli utenti.

VTech ha confermato pubblicamente la vicenda, ma senza rivelarne la reale portata o le implicazioni. Per esempio, dato che le password degli utenti erano custodite dalla VTech con un sistema di protezione facilmente scavalcabile, è facile per un aggressore ricavare queste password, abbinarle all’indirizzo di mail dello specifico utente e poi tentare di rubare all’utente l’account di mail contando sul fatto che molti usano ripetutamente la stessa password per tutti i propri servizi online. Inoltre la disponibilità dell’indirizzo di casa e delle foto dei minori spalanca la porta a intrusioni e ricatti.


Soprattutto la domanda di fondo è cosa se ne faccia, una società come VTech, di questi dati personali degli utenti. Li raccoglie per offrire il servizio Kid Connect, che consente ai genitori di chattare via smartphone con i figli che usano per esempio un tablet della VTech. Ma questi servizi si possono anche realizzare senza custodire i dati degli utenti in modo così insicuro. Purtroppo questo approccio disinvolto alla raccolta di dati e alla loro custodia è molto diffuso fra le aziende che si sono buttate da poco nell’informatica seguendo la moda della cosiddetta “Internet delle cose”. Meglio allora evitare i giocattoli digitali che si connettono a Internet.

Se avete acquistato un dispositivo VTech e volete sapere se siete coinvolti in quest’ennesima violazione, consultate HaveIBeenPwned.