Der Hacker, der einen Teil des Materials Motherboard zugespielt hat, soll insgesamt Profilfotos und andere Inhalte im Umfang von bis zu 190 Gigabyte von den VTech-Servern gestohlen haben. Das Unternehmen aus Hong Kong verkauft unter anderem Tablets und dazugehörige Lernsoftware sowie eine Smartwatch für Kinder.
Bei dem Datenmaterial handelt es sich vor allem um Profilfotos, die in der Chat-App Kids Connect verwendet wurden. Die Anwendung hat 2,3 Millionen registrierte Nutzer. Aber auch Chat-Protokolle und Audio-Aufnahmen sind dabei. In der Datenbank stehen Namen, Geburtsdatum und Geschlecht der Nutzer sowie Passwörter und Adressen. Die Informationen reichen laut dem Hacker aus, um Personen zu identifizieren. VTech betont jedoch, dass keine Zahlungsdaten gestohlen wurden.
Der Hacker behauptet zumindest, dass er nicht plant, die Informationen zu veröffentlichen: „Es macht mich einfach nur krank, dass ich diese ganzen Dinge überhaupt bekommen konnte“, kommentiert er sein Vorgehen gegenüber Motherboard. Sicherheitsforscher kritisieren unter anderem, dass VTech die Nutzerdaten auf seinem Server gespeichert hatte. Die Datenbank sei nicht ausreichend verschlüsselt gewesen.
Der Spielzeughersteller hat nach Bekanntwerden der Sicherheitslücke einen Teil seiner Anwendungen vorerst gesperrt. Hong Kongs Sicherheitsbeauftragter für persönliche Daten, Stephen Wong, prüft derzeit, ob VTech sich an die vorgeschriebenen Richtlinien für Datenschutz gehalten hat. In den USA wollen die Staatsanwälte von Connecticut und Illinois den Hack auf den Grund gehen.