Ende November wurde bekannt, dass die Datenbanken des Lernspielzeug-Anbieters VTech gehackt und Informationen sowohl über Eltern als auch Kinder entwendet wurden. Während anfangs von 4.8 Millionen zu Eltern gehörenden Datensätzen die Rede war, sowie Vornamen, Geburtstage und Geschlecht von 200.000 Kindern, wurde die Zahl der Kinder-Profile nun auf 6.4 Millionen korrigiert. Diese lassen sich laut Lorenzo Franceschi-Bicchierai mit den Datensätzen der Eltern verknüpfen, welche Namen, E‑Mail-Adressen, Anschriften, Passwörter und Informationen zum Zurücksetzen des Passwortes enthielten.
Der Hacker, der anonym bleiben will, gab gegenüber Motherboard an, auch 190 Gigabyte Fotos von Eltern und Kindern sowie Aufzeichnungen von deren Chats, die sie mit den VTech-Spielzeugen und dazugehörigen Apps geführt hatten, entwendet zu haben. Diese seien schlecht gesichert und nur unzureichend verschlüsselt gewesen.
Die Spielzeug-Firma, die erst durch einen Hinweis von Motherboard auf den Hack aufmerksam geworden war, nahm mehrere ihrer Dienste und Websites offline. Sie reagierte jedoch nicht auf Anfragen von Motherboard, wieso überhaupt so viele Kundendaten gespeichert wurden – teilweise für ein Jahr. Zu den Vorwürfen, dass auch Bilder, Chatlogs und Audiodateien geleakt werden konnten, will man sich bei VTech „aufgrund der laufenden Untersuchung“ ebenfalls nicht äußern.
In Reaktion auf den Hack forderte der Sicherheitsforscher Mark Nunnikhoven Unternehmen dazu auf, sehr umsichtig zu entscheiden, welche Daten sie sammeln und speichern:
You should only collect and store data for well understood use. Data should be evaluated for it’s overall value to the organization and — just as importantly — the risk it can pose to the organization. Unless the cost to acquire the data in the future is so ridiculously high that it’s infeasible, you should always opt to collect and store the data when you have a concrete use for it.