最後更新: 香港時間2018年1月9日19:30
關於與美國聯邦貿易委員會的和解協議
關於Learning Lodge重啓
7. 當我重新連接到Learning Lodge時,會是怎樣的?
9. 我可以在Learning Lodge帳戶登記新產品嗎?
12. PlanetVTech和其他暫停服務的網站何時重啓服務?
關於事件
20. 有報導指英國警方於2015年12月拘捕了一名涉嫌與是次駭客入侵事件有關的人士,警方的調查進展如何?
1. 美國聯邦貿易委員會是什麼?
美國聯邦貿易委員會(Federal Trade Commission)是美國政府的獨立機構,負責保障消費者。您可以瀏覽www.ftc.gov以了解更多關於美國聯邦貿易委員會的資訊。
2. 偉易達與美國聯邦貿易委員會達成什麼協議?
偉易達於香港時間2018年1月9日發出新聞稿,宣布代表旗下兩間附屬公司與美國聯邦貿易委員會達成協議,結束歷時兩年的調查,該調查是有關二零一五年十一月我們的資料庫遭黑客網絡攻擊。除了解決有關偉易達數據安全措施的歷史遺留問題外,此協議也處理了美國兒童線上隱私權保護法(Children’s Online Privacy Protection Act,COPPA)中就通知和取得家長同意的技術要求。
3. 為什麼你們選擇現在和解?
我們現在和美國聯邦貿易委員會解決事件,是想將我們所有精力集中於繼續為客戶及兒童提供一流的電子教育玩具,而不用被兩年前發生的事件所引起的法律程序一再拖延影響。
4. 協議的詳細內容是什麼?
此文件提供有關偉易達和美國聯邦貿易委員會的協議詳情。簡單來說,偉易達同意繳付65萬美元,以解決有關違反COPPA技術要求及數據保安存在不足的指控。
我們想說清楚,起初設計Kid Connect通訊系統時,我們已確保購買偉易達產品的家長充分了解此系統的運作方式、哪些資料會被收集及他們可以如何控制子女的通訊對象。然而,聯邦貿易委員會指稱當中通知和驗證家長同意的具體做法未能符合COPPA中的法律和技術要求。作為協議的一部分,偉易達同意修正這些問題,採取經獨立第三方核實的一些數據安全措施。
值得留意的一點是,我們在2015年事件發生後,即早在此協議之前,已投入大量資源來實施更嚴格的數據安全措施,並確保遵守COPPA的規定。
5. Learning Lodge是何時重啓的?
Learning Lodge的主要功能及應用程式商店已於香港時間2016年1月23日(星期六)重啓,適用於指定產品。
6. 有什麼服務現時已重啓?
擁有連接Learning Lodge產品的客戶,現在能夠安全地為新產品登記、管理現有帳戶及更改他們的密碼。Learning Lodge應用程式商店亦已重啓服務。有關已重啓的Learning Lodge功能的詳情,請參閱列表。
7. 當我重新連接到Learning Lodge時,會是怎樣的?
使用安裝在個人電腦/麥金塔電腦(PC/Mac)的下載管理員的現有Learning Lodge 客戶:
- 您的Learning Lodge程式將會自動更新及安裝在您的電腦
- 您會被要求更改密瑪
- 您亦需要確認有關收集您子女資料的家長同意書
已登記Learning Lodge帳戶的InnoTab/Storio MAX客戶:
- 您需要進入「家長監護」( “Parental Control” )模式更新韌體
- 您會被要求更改密瑪
- 您亦需要確認有關收集您子女資料的家長同意書
8. 我可以取消我的Learning Lodge帳戶嗎?
可以的。您可以透過Learning Lodge程式或網頁瀏覽器取消您的Learning Lodge帳戶。詳情請參閱您所在地區的Learning Lodge下載網頁。然而,偉易達需要在一段時間內保留一份您的帳戶資料副本,用作回應因資料外洩事件而可能出現的法律問題。但除了回應這類法律問題外,偉易達不會使用或處理那些資料。
9. 我可以在Learning Lodge帳戶登記新產品嗎?
擁有連接Learning Lodge產品的客戶,現在能夠安全地為新產品登記。
10. 我的產品現在能夠連接應用程式商店嗎?
所有連接Learning Lodge的產品都能夠使用應用程式商店。
11. Kid Connect何時重啓服務?
Kid Connect已經全面重啓服務。
12. PlanetVTech和其他暫停服務的網站何時重啓服務?
PlanetVTech 和其他暫停服務的網站仍然關閉。我們目前沒有計劃重啓這些暫停的網站和服務。
- www.planetvtech.com
- www.lumibeauxreves.com
- www.planetvtech.fr
- www.vsmilelink.com
- www.planetvtech.de
- www.planetvtech.co.uk
- www.planetvtech.es
- www.proyectorvtech.es
- www.sleepybearlullabytime.com
- de.vsmilelink.com
- fr.vsmilelink.com
- uk.vsmilelink.com
- es.vsmilelink.com
13. 聽說偉易達網站的客戶資料外洩,是否屬實?
我們的資料顯示曾有未經授權者於2015年11月12日至11月29日期間,入侵Learning Lodge應用程式商店的客戶數據庫、PlanetVTech和V.Smile Link網站及Kid Connect的伺服器。Learning Lodge讓客戶為他們的偉易達產品下載學習遊戲、電子書以及其他富教育性的內容。Kid Connect是讓家長和子女互通訊息的服務,家長可以用智能手機,與使用偉易達平板電腦或DigiGo的子女收發語音及文字訊息、相片、繪圖和趣味貼紙。PlanetVTech和V.Smile Link是提供互動遊戲給兒童的網站。
14. 哪些網站和服務受到影響?
偉易達Learning Lodge應用程式商店的客戶數據庫受到影響,PlanetVTech、V.Smile Link和Kid Connect的相關伺服器也被入侵。作爲預防措施,我們於香港時間2015年11月29日暫停Learning Lodge、Kid Connect服務和以下網站,以進行全面的安全評核。
- www.planetvtech.com
- www.lumibeauxreves.com
- www.planetvtech.fr
- www.vsmilelink.com
- www.planetvtech.de
- www.planetvtech.co.uk
- www.planetvtech.es
- www.proyectorvtech.es
- www.sleepybearlullabytime.com
- de.vsmilelink.com
- fr.vsmilelink.com
- uk.vsmilelink.com
- es.vsmilelink.com
15.你們是何時發現資料外洩的?
我們於美國東部時間2015年11月23日收到一位記者的電郵,查詢此事件。在收到他的電郵之後,我們展開內部調查,並且於2015年11月24日發現Learning Lodge網站有些不尋常的活動發生。經調查我們於香港時間2015年11月26日確認當月較早時間發生資料外洩。我們立即開始全面檢查受影響的網站,並已經採取多項措施以防止再被攻擊。
16. 就此事件,你們是何時通知客戶和公眾?
我們確認有關這次未經授權入侵我們客戶數據庫的事實後,於香港時間2015年11月27日(星期五)在集團網站發布聲明,概述資料外洩的詳情。同日,我們發電郵給可能受影響的Learning Lodge和Kid Connect客戶,通知他們此事件。在找到更多有關資料外洩的資料及辨識哪些客戶有機會受到影響後,我們亦通知了其他可能受影響的客戶。此外,
- 我們於香港時間2015年11月30日(星期一)發布第二份聲明。
- 第三份附有更多資料的新聞稿於香港時間2015年12月3日(星期四)發布。
- 第四份有關Learning Lodge重啓的聲明則於香港時間2016年1月25日(星期一) 發布。
17. 有多少客戶受到影響?
我們的Learning Lodge、Kid Connect、PlanetVTech和V.Smile Link的客戶受到影響。詳細資料如下:
a. Learning Lodge
全球共有4,863,209個客戶(家長)帳戶以及6,368,509個相關兒童資料受到影響。而在此約630萬個兒童資料當中,約120萬個有啟動Kid Connect服務。兒童資料只包括姓名、性別和出生日期。
b. PlanetVTech和V.Smile Link
PlanetVTech和V.Smile Link共有235,708個家長帳戶和227,705個兒童資料。
18. 你們可以提供受影響客戶的地理分布情況嗎?
根據我們的資料,Learning Lodge客戶以國家劃分的大約分布情況如下:
| 國家 | 家長帳戶 | 兒童資料 |
| 美國 | 2,221,863 | 2,894,091 |
| 法國 | 868,650 | 1,173,497 |
| 英國 | 560,487 | 727,155 |
| 德國 | 390,985 | 508,806 |
| 加拿大 | 237,949 | 316,482 |
| 其他 | 168,394 | 223,943 |
| 西班牙 | 115,155 | 138,847 |
| 比利時 | 102,119 | 133,179 |
| 荷蘭 | 100,828 | 124,730 |
| 愛爾蘭 | 40,244 | 55,102 |
| 拉丁美洲 | 28,105 | 36,716 |
| 澳洲 | 18,151 | 23,096 |
| 丹麥 | 4,504 | 5,547 |
| 盧森堡 | 4,190 | 5,014 |
| 新西蘭 | 1,585 | 2,304 |
19. 駭客怎樣入侵你們的數據庫?
我們未能透露有關駭客入侵的詳情。明確的事實就是,這次駭客入侵是犯罪行為,而且是精心安排的攻擊。我們的Learning Lodge、Kid Connect、PlanetVTech和V.Smile Link的數據庫被熟練的駭客攻擊。我們發現資料外洩後,立即開始全面檢查受影響的網站,並已經採取多項措施以防止再被攻擊。
20. 有報導指英國警方於2015年12月拘捕了一名涉嫌與是次駭客入侵事件有關的人士,警方的調查進展如何?
於2016年11月1日,一名來自英國伯克郡布拉克內爾(Bracknell, Berkshire)的22歲男子因未經授權入侵他人電腦資料(英國Computer Misuse Action 1990第一章)被警方作出適用於成人的正式警誡(police caution) 。這是英國South East Regional Organised Crime Unit (SEROCU)的網絡罪行組(Cyber Crime Unit)對2015年11月發生的偉易達數據庫資料外洩事件,當中包括Learning Lodge應用程式商店、PlanetVTech和V.Smile Link網站,以及Kid Connect服務,進行刑事調查而得出的結果。
21. 你們的數據庫有哪些資料?
- 我們的數據庫包括Learning Lodge和Kid Connect的資料,詳情如下:
a. Learning Lodge– 家長帳戶資料,包括姓名、電郵地址、用以獲取密碼的秘密提示問題和答案、IP地址、郵寄地址、下載記錄、產品購買記錄和密碼。
– 由家長設定的兒童資料,包括兒童的姓名、性別和出生日期。
– 兒童玩遊戲的進度記錄,以供父母參考。
b. Kid Connect
– 家長帳戶資料,包括電郵地址和密碼,以及家長和兒童的頭像照和帳戶名稱。
– Kid Connect聊天和語音訊息及照片(由兒童或家長寄出)。
– 由家長及其子女張貼的布告板內容。
c. PlanetVTech
– 家長帳戶資料,包括姓名、電郵地址、用以獲取密碼的秘密提示問題和答案、郵寄地址、產品購買記錄和密碼。
– 由家長設定的兒童資料,包括兒童的姓名、虛擬角色名稱、密碼、性別和出生日期。
– 遊戲得分。
d. V.Smile Link
– 家長帳戶資料,包括姓名、電郵地址、用以獲取密碼的秘密提示問題和答案、郵寄地址、產品購買記錄和密碼。
– 由家長設定的兒童資料,包括兒童的姓名、虛擬角色名稱、密碼、性別和出生日期。
– 遊戲得分和遊戲盒帶記錄。
- 我們的數據庫沒有信用卡或扣賬卡(debit card)或其他財務帳戶號碼。客戶在Learning Lodge網站為其下載付款或結賬時,會被轉到安全的第三方支付門戶網站。
- 我們的數據庫沒有身份證號碼、社保號碼(Social Security numbers)、駕駛執照號碼或其他類似資料。
22. 有沒有任何信用卡資料被盜?
沒有,我們的Learning Lodge數據庫沒有信用卡或扣賬卡(debit card)或其他財務帳戶號碼。偉易達既不處理也不儲存Learning Lodge網站客戶的信用卡或扣賬卡(debit card)資料。客戶在Learning Lodge網站為其下載付款或結賬時,會被轉到安全的第三方支付門戶網站。
23. 為什麼你們要保留客戶資料?
Learning Lodge讓客戶為他們的偉易達產品下載學習遊戲、電子書以及其他富教育性的內容。客戶需要開設帳戶來進行這些交易。這些資料用於辨認客戶身份、推廣我們的內容及紀錄客戶下載歷史。
此外,兒童個人資料是向家長收集的,用途是讓家長識別他們的子女(例如有些家長可能有多個兒童帳戶),以及讓偉易達按兒童的年齡組別設定相符的遊戲難度。
偉易達儲存某些Kid Connect訊息、照片及布告板內容,以確保這些資料已被傳送及被預期收件人接收。
遊戲得分和進度記錄是按要求收集和提供給家長的,讓他們可以跟進子女在教育遊戲的學習進度。
24. 我可以做什麼來更好地保護自己?
如客戶在其他網站或服務使用和之前在Learning Lodge 、PlanetVTech或V.Smile Link相同的密碼,或是相同的秘密提示問題和答案,我們建議客戶立即更改這些網站或服務的密碼,以及秘密提示問題和答案。當您再登入已重啓的Learning Lodge網站時,您會被要求設定新密碼。。
25. 偉易達如何保護儲存在Kid Connect的數據?
我們已經檢討Kid Connect的安全設定,並採取額外措施以保護經由該服務傳送和儲存的數據。我們亦已在重啓服務前刪除Kid Connect所有布告板內容和未寄出的訊息。如上述所言,Kid Connect已經全面重啓服務。
26. 偉易達是否已通知客戶?
是的,我們已經通知客戶和公衆有關事件。除了發電郵通知客戶外,我們亦已在集團網站刊登聲明及新聞稿,並將適時更新事件的進展。
我們已經設立以下電郵回應查詢:
- 美國: vtechkids@vtechkids.com
- 加拿大: toys@vtechcanada.com
- 法國: explora_park@vtech3.websitedevsystem.com
- 德國: downloadmanager@vtech.de
- 荷蘭: exp@vtech3.websitedevsystem.com
- 西班牙: informacion@vtech3.websitedevsystem.com
- 英國: consumer_services@vtech3.websitedevsystem.com
- 澳洲及新西蘭: enquiriestoys_aunz@vtech3.websitedevsystem.com
- 香港: corporate_mail@vtech3.websitedevsystem.com
- 其他國家及地區: corporate_mail@vtech3.websitedevsystem.com
27. 偉易達是否已通知政府部門?你們是否正被調查?
我們已經聘請專長於數據保安的法律顧問,他們正與各地的政府機構溝通,當中包括正在調查駭客事件的執法機關。
