Det Hongkong-baserte firmaet varslet allerede fredag om hackingen av nesten 5 millioner voksne kunder, men sa da, ifølge Reuters, ingenting om at også barn var rammet.
Appen «Learning Lodge» er hacket, noe firmaet ber om unnskyldning for. Appen er kundenes inngang til nedlasting av spill, e-bøker og annet innhold som kan spilles på VTech-dingsene.
11,3 millioner navn lekket
På sin hjemmeside oppgir nå firmaet at i alt 11,3 millioner kundekonti er kompromittert.
Firmaet opplyser at kundedatabasen inneholder brukerprofiler med barnas navn, fødselsdata og kjønn: I tillegg har firmaet lagret foreldrenes navn, e-postadresser, krypterte passord, hemmelige spørsmål og svar, IP-adresser, postadresser og nedlastingshistorikk.
VTech presiserer at databasen ikke inneholder kredittkortdata eller betalingsinformasjon.
– Jeg har aldri sett et hackerangrep som har hatt så stor virkning på barn noen gang, sier
Chris Wysopal i datasikkerhetsfirmaet Veracode til Reuters. Han sier VTech ikke har vært utstyrt for å håndtere denne typen informasjon.
– Utilgivelig!
BBC har også snakket med en ekspert på datasikkerhet, professor Alan Woodward, på Surrey University, som sier at hackerangrepet ser ut til å være et enkelt angrep av typen «SQL injection».
– Hvis dette er tilfellet, er det virkelig utilgivelig. Det er en gammel teknikk som et hvilket som helst sikkerhetssystem burde ta høyde for, sier professoren.
Han sier også at foreldre må snakke med barna om at de kan bli kontaktet av ukjente basert på disse dataene.
Til salgs i Norge
Hackingen skal ha foregått mot kunder i mer enn 12 land. Firmaet oppgir at de har flest kunder i USA, Frankrike, Storbritannia, Canada, Spania, Belgia og Nederland. Leken er også til salgs i norske lekebutikker.
Inntrengingen i databasen skal ha skjedd 14. november. Da omfanget av hackingen ble kjent mandag, ble aksjen suspendert på Hongkong-børsen med øyeblikkelig virkning.