最后更新: 香港时间2018年1月9日19:30
关于与美国联邦贸易委员会的和解协议
关于Learning Lodge重启
7. 当我重新连接到Learning Lodge时,会是怎样的?
9. 我可以在Learning Lodge帐户登记新产品吗?
12. PlanetVTech和其他暂停服务的网站何时重启服务?
关于事件
20. 有报导指英国警方于2015年12月拘捕了一名涉嫌与是次骇客入侵事件有关的人士,警方的调查进展如何?
1. 美国联邦贸易委员会是什么?
美国联邦贸易委员会(Federal Trade Commission)是美国政府的独立机构,负责保障消费者。您可以浏览www.ftc.gov以了解更多关于美国联邦贸易委员会的资讯。
2. 伟易达与美国联邦贸易委员会达成什么协议?
伟易达于香港时间2018年1月9日发出新闻稿,宣布代表旗下两间附属公司与美国联邦贸易委员会达成协议,结束历时两年的调查,该调查是有关二零一五年十一月我们的资料库遭黑客网络攻击。除了解决有关伟易达数据安全措施的历史遗留问题外,此协议也处理了美国儿童线上隐私权保护法(Children’s Online Privacy Protection Act,COPPA)中就通知和取得家长同意的技术要求。
3. 为什么你们选择现在和解?
我们现在和美国联邦贸易委员会解决事件,是想将我们所有精力集中于继续为客户及儿童提供一流的电子教育玩具,而不用被两年前发生的事件所引起的法律程序一再拖延影响。
4. 协议的详细内容是什么?
此文件提供有关伟易达和美国联邦贸易委员会的协议详情。简单来说,伟易达同意缴付65万美元,以解决有关违反COPPA技术要求及数据保安存在不足的指控。
我们想说清楚,起初设计Kid Connect通讯系统时,我们已确保购买伟易达产品的家长充分了解此系统的运作方式、哪些资料会被收集及他们可以如何控制子女的通讯对象。然而,联邦贸易委员会指称当中通知和验证家长同意的具体做法未能符合COPPA中的法律和技术要求。作为协议的一部分,伟易达同意修正这些问题,采取经独立第三方核实的一些数据安全措施。
值得留意的一点是,我们在2015年事件发生后,即早在此协议之前,已投入大量资源来实施更严格的数据安全措施,并确保遵守COPPA的规定。
5. Learning Lodge是何时重启的?
Learning Lodge的主要功能及应用程式商店已于香港时间2016年1月23日(星期六)重启,适用于指定产品。
6. 有什么服务现时已重启?
拥有连接Learning Lodge产品的客户,现在能够安全地为新产品登记、管理现有帐户及更改他们的密码。Learning Lodge应用程式商店亦已重启服务。有关已重启的Learning Lodge功能的详情,请参阅列表。
7. 当我重新连接到Learning Lodge时,会是怎样的?
使用安装在个人电脑/麦金塔电脑(PC/Mac)的下载管理员的现有Learning Lodge 客户:
- 您的Learning Lodge程式将会自动更新及安装在您的电脑
- 您会被要求更改密玛
- 您亦需要确认有关收集您子女资料的家长同意书
已登记Learning Lodge帐户的InnoTab/Storio MAX客户:
- 您需要进入「家长监护」( “Parental Control” )模式更新韧体
- 您会被要求更改密玛
- 您亦需要确认有关收集您子女资料的家长同意书
8. 我可以取消我的Learning Lodge帐户吗?
可以的。您可以透过Learning Lodge程式或网页浏览器取消您的Learning Lodge帐户。详情请参阅您所在地区的Learning Lodge下载网页。然而,伟易达需要在一段时间内保留一份您的帐户资料副本,用作回应因资料外泄事件而可能出现的法律问题。但除了回应这类法律问题外,伟易达不会使用或处理那些资料。
9. 我可以在Learning Lodge帐户登记新产品吗?
拥有连接Learning Lodge产品的客户,现在能够安全地为新产品登记。
10. 我的产品现在能够连接应用程式商店吗?
所有连接Learning Lodge的产品都能够使用应用程式商店。
11. Kid Connect何时重启服务?
Kid Connect已经全面重启服务。
12. PlanetVTech和其他暂停服务的网站何时重启服务?
PlanetVTech 和其他暂停服务的网站仍然关闭。我们目前没有计划重启这些暂停的网站和服务。
- www.planetvtech.com
- www.lumibeauxreves.com
- www.planetvtech.fr
- www.vsmilelink.com
- www.planetvtech.de
- www.planetvtech.co.uk
- www.planetvtech.es
- www.proyectorvtech.es
- www.sleepybearlullabytime.com
- de.vsmilelink.com
- fr.vsmilelink.com
- uk.vsmilelink.com
- es.vsmilelink.com
13. 听说伟易达网站的客户资料外泄,是否属实?
我们的资料显示曾有未经授权者于2015年11月12日至11月29日期间,入侵Learning Lodge应用程式商店的客户数据库、PlanetVTech和V.Smile Link网站及Kid Connect的伺服器。Learning Lodge让客户为他们的伟易达产品下载学习游戏、电子书以及其他富教育性的内容。Kid Connect是让家长和子女互通讯息的服务,家长可以用智能手机,与使用伟易达平板电脑或DigiGo的子女收发语音及文字讯息、相片、绘图和趣味贴纸。PlanetVTech和V.Smile Link是提供互动游戏给儿童的网站。
14. 哪些网站和服务受到影响?
伟易达Learning Lodge应用程式商店的客户数据库受到影响,PlanetVTech、V.Smile Link和Kid Connect的相关伺服器也被入侵。作为预防措施,我们于香港时间2015年11月29日暂停Learning Lodge、Kid Connect服务和以下网站,以进行全面的安全评核。
- www.planetvtech.com
- www.lumibeauxreves.com
- www.planetvtech.fr
- www.vsmilelink.com
- www.planetvtech.de
- www.planetvtech.co.uk
- www.planetvtech.es
- www.proyectorvtech.es
- www.sleepybearlullabytime.com
- de.vsmilelink.com
- fr.vsmilelink.com
- uk.vsmilelink.com
- es.vsmilelink.com
15.你们是何时发现资料外泄的?
我们于美国东部时间2015年11月23日收到一位记者的电邮,查询此事件。在收到他的电邮之后,我们展开内部调查,并且于2015年11月24日发现Learning Lodge网站有些不寻常的活动发生。经调查我们于香港时间2015年11月26日确认当月较早时间发生资料外泄。我们立即开始全面检查受影响的网站,并已经采取多项措施以防止再被攻击。
16. 就此事件,你们是何时通知客户和公众?
我们确认有关这次未经授权入侵我们客户数据库的事实后,于香港时间2015年11月27日(星期五)在集团网站发布声明,概述资料外泄的详情。同日,我们发电邮给可能受影响的Learning Lodge和Kid Connect客户,通知他们此事件。在找到更多有关资料外泄的资料及辨识哪些客户有机会受到影响后,我们亦通知了其他可能受影响的客户。此外,
- 我们于香港时间2015年11月30日(星期一)发布第二份声明。
- 第三份附有更多资料的新闻稿于香港时间2015年12月3日(星期四)发布。
- 第四份有关Learning Lodge重启的声明则于香港时间2016年1月25日(星期一) 发布。
17. 有多少客户受到影响?
我们的Learning Lodge、Kid Connect、PlanetVTech和V.Smile Link的客户受到影响。详细资料如下:
a. Learning Lodge
全球共有4,863,209个客户(家长)帐户以及6,368,509个相关儿童资料受到影响。而在此约630万个儿童资料当中,约120万个有启动Kid Connect服务。儿童资料只包括姓名、性别和出生日期。
b. PlanetVTech和V.Smile Link
PlanetVTech和V.Smile Link共有235,708个家长帐户和227,705个儿童资料。
18. 你们可以提供受影响客户的地理分布情况吗?
根据我们的资料,Learning Lodge客户以国家划分的大约分布情况如下:
| 国家 | 家长帐户 | 儿童资料 |
| 美国 | 2,221,863 | 2,894,091 |
| 法国 | 868,650 | 1,173,497 |
| 英国 | 560,487 | 727,155 |
| 德国 | 390,985 | 508,806 |
| 加拿大 | 237,949 | 316,482 |
| 其他 | 168,394 | 223,943 |
| 西班牙 | 115,155 | 138,847 |
| 比利时 | 102,119 | 133,179 |
| 荷兰 | 100,828 | 124,730 |
| 爱尔兰 | 40,244 | 55,102 |
| 拉丁美洲 | 28,105 | 36,716 |
| 澳洲 | 18,151 | 23,096 |
| 丹麦 | 4,504 | 5,547 |
| 卢森堡 | 4,190 | 5,014 |
| 新西兰 | 1,585 | 2,304 |
19. 骇客怎样入侵你们的数据库?
我们未能透露有关骇客入侵的详情。明确的事实就是,这次骇客入侵是犯罪行为,而且是精心安排的攻击。我们的Learning Lodge、Kid Connect、PlanetVTech和V.Smile Link的数据库被熟练的骇客攻击。我们发现资料外泄后,立即开始全面检查受影响的网站,并已经采取多项措施以防止再被攻击。
20. 有报导指英国警方于2015年12月拘捕了一名涉嫌与是次骇客入侵事件有关的人士,警方的调查进展如何?
于2016年11月1日,一名来自英国伯克郡布拉克内尔(Bracknell, Berkshire)的22岁男子因未经授权入侵他人电脑资料(英国Computer Misuse Action 1990第一章)被警方作出适用于成人的正式警诫(police caution) 。这是英国South East Regional Organised Crime Unit (SEROCU)的网络罪行组(Cyber Crime Unit)对2015年11月发生的伟易达数据库资料外泄事件,当中包括Learning Lodge应用程式商店、PlanetVTech和V.Smile Link网站,以及Kid Connect服务,进行刑事调查而得出的结果。
21. 你们的数据库有哪些资料?
- 我们的数据库包括Learning Lodge和Kid Connect的资料,详情如下:
a. Learning Lodge– 家长帐户资料,包括姓名、电邮地址、用以获取密码的秘密提示问题和答案、IP地址、邮寄地址、下载记录、产品购买记录和密码。
– 由家长设定的儿童资料,包括儿童的姓名、性别和出生日期。
– 儿童玩游戏的进度记录,以供父母参考。
b. Kid Connect
– 家长帐户资料,包括电邮地址和密码,以及家长和儿童的头像照和帐户名称。
– Kid Connect聊天和语音讯息及照片(由儿童或家长寄出)。
– 由家长及其子女张贴的布告板内容。
c. PlanetVTech
– 家长帐户资料,包括姓名、电邮地址、用以获取密码的秘密提示问题和答案、邮寄地址、产品购买记录和密码。
– 由家长设定的儿童资料,包括儿童的姓名、虚拟角色名称、密码、性别和出生日期。
– 游戏得分。
d. V.Smile Link
– 家长帐户资料,包括姓名、电邮地址、用以获取密码的秘密提示问题和答案、邮寄地址、产品购买记录和密码。
– 由家长设定的儿童资料,包括儿童的姓名、虚拟角色名称、密码、性别和出生日期。
– 游戏得分和游戏盒带记录。
- 我们的数据库没有信用卡或扣账卡(debit card)或其他财务帐户号码。客户在Learning Lodge网站为其下载付款或结账时,会被转到安全的第三方支付门户网站。
- 我们的数据库没有身份证号码、社保号码(Social Security numbers)、驾驶执照号码或其他类似资料。
22. 有没有任何信用卡资料被盗?
没有,我们的Learning Lodge数据库没有信用卡或扣账卡(debit card)或其他财务帐户号码。伟易达既不处理也不储存Learning Lodge网站客户的信用卡或扣账卡(debit card)资料。客户在Learning Lodge网站为其下载付款或结账时,会被转到安全的第三方支付门户网站。
23. 为什么你们要保留客户资料?
Learning Lodge让客户为他们的伟易达产品下载学习游戏、电子书以及其他富教育性的内容。客户需要开设帐户来进行这些交易。这些资料用于辨认客户身份、推广我们的内容及纪录客户下载历史。
此外,儿童个人资料是向家长收集的,用途是让家长识别他们的子女(例如有些家长可能有多个儿童帐户),以及让伟易达按儿童的年龄组别设定相符的游戏难度。
伟易达储存某些Kid Connect讯息、照片及布告板内容,以确保这些资料已被传送及被预期收件人接收。
游戏得分和进度记录是按要求收集和提供给家长的,让他们可以跟进子女在教育游戏的学习进度。
24. 我可以做什么来更好地保护自己?
如客户在其他网站或服务使用和之前在Learning Lodge 、PlanetVTech或V.Smile Link相同的密码,或是相同的秘密提示问题和答案,我们建议客户立即更改这些网站或服务的密码,以及秘密提示问题和答案。当您再登入已重启的Learning Lodge网站时,您会被要求设定新密码。。
25. 伟易达如何保护储存在Kid Connect的数据?
我们已经检讨Kid Connect的安全设定,并采取额外措施以保护经由该服务传送和储存的数据。我们亦已在重启服务前删除Kid Connect所有布告板内容和未寄出的讯息。如上述所言,Kid Connect已经全面重启服务。
26. 伟易达是否已通知客户?
是的,我们已经通知客户和公众有关事件。除了发电邮通知客户外,我们亦已在集团网站刊登声明及新闻稿,并将适时更新事件的进展。
我们已经设立以下电邮回应查询:
- 美国: vtechkids@vtechkids.com
- 加拿大: toys@vtechcanada.com
- 法国: explora_park@vtech3.websitedevsystem.com
- 德国: downloadmanager@vtech.de
- 荷兰: exp@vtech3.websitedevsystem.com
- 西班牙: informacion@vtech3.websitedevsystem.com
- 英国: consumer_services@vtech3.websitedevsystem.com
- 澳洲及新西兰: enquiriestoys_aunz@vtech3.websitedevsystem.com
- 香港: corporate_mail@vtech3.websitedevsystem.com
- 其他国家及地区: corporate_mail@vtech3.websitedevsystem.com
27. 伟易达是否已通知政府部门?你们是否正被调查?
我们已经聘请专长于数据保安的法律顾问,他们正与各地的政府机构沟通,当中包括正在调查骇客事件的执法机关。
