Kinderspeelgoed niet goed beschermd tegen hackers

De fabrikant van educatieve kindercomputers Vtech is gehackt. Ook de data van 125.000 Nederlandse kinderen werden gestolen.

Speelgoed van het Chinese bedrijf Vtech. Foto cc / Derek Bruff

De Chinese producent Vtech maakt computers en tablets voor kinderen, waaronder een Hello Kitty-‘laptop’ voor baby’s, met kleurige knopjes. Computers voor oudere kinderen zijn ‘connected’ speelgoed: aangesloten op internet. Spelletjes en apps voor de Vtech-computer zijn te downloaden in de shop, waarvoor ouders een account moeten aanmaken. En juist dit soort data werd gestolen, toen Vtech vorige maand werd gehackt.

Veel informatie van de klantendatabase van de Vtech-appstore is buitgemaakt, liet het bedrijf gisteren weten.

Het gaat volgens Vtech om klantgegevens van ruim 6 miljoen kinderen en bijna 5 miljoen ouders: namen, e-mailadressen, versleutelde wachtwoorden, woonadressen en downloadgeschiedenis. Ook de gegevens van ongeveer 125.000 Nederlandse kinderen en 100.000 volwassenen zijn gehackt, zo blijkt uit een overzicht op de Vtech-site. De fabrikant zegt dat er geen creditcardgegevens zijn gestolen.

Foto’s van kinderen gestolen

Belangrijker is dat er waarschijnlijk ook foto’s van kinderen zijn buitgemaakt. De website Motherboard van Vice, die als eerste over de computerinbraak schreef, publiceerde maandag g eanonimiseerde foto’s van kinderen en ouders. De hacker had contact met de site opgenomen en als bewijs 3.832 foto’s toegestuurd.

De foto’s kwamen van Kid Connect, een programma waarbij ouders via de smartphone kunnen chatten met hun kinderen die een Vtech-tablet hebben. Vtech moedigt het plaatsen van profielfoto’s bij die dienst aan.

In een verklaring op de website stelt Vtech dat het de diefstal van de foto’s niet kan bevestigen „omdat het onderzoek nog in volle gang is”. Volgens Motherboard zocht de hacker contact met de techsite om aandacht te vragen voor de slechte beveiliging bij Vtech.

Per chat liet de hacker weten „ziek ” te zijn van het feit dat hij „zo makkelijk” toegang tot alle data kreeg. Daarmee lijkt het er dus op dat de hacker de alarmbel wil luiden en geen misbruik van de data zal maken.

Weinig aandacht voor privacy

De hack laat zien dat data van en over kinderen in handen van een grote fabrikant niet per definitie veilig zijn online. Job Vos is privacydeskundige bij Kennisnet, een stichting die zich bezighoudt met IT in het onderwijs. Hij kent behalve de hack bij Vtech en de grootschalige hack van de Sony Playstation spelcomputers in december 2014, geen andere hacks van ‘connected’ speelgoed. Maar hij sluit die voor de toekomst zeker niet uit. „Speelgoedfabrikanten leggen het accent op functionaliteit: het moet er leuk uitzien. Bij speelgoed dat online kan, wordt zelden iets geregeld voor het bijhouden van bijvoorbeeld beveiligingsupdates. Bij registratie van klantgegevens worden wel zoveel mogelijk gegevens gevraagd. Aandacht voor privacy en veiligheid komen op de laatste plaats.”

Dat geldt ook voor de gebruikers, zegt Remco Pijpers van Mijn Kind Online, dat onderzoek doet naar digitale media voor kinderen en onderdeel is van Kennisnet. „Kinderen en ouders zijn vaak enthousiast over dit nieuwe speelgoed, maar vergeten dat connected speelgoed in de kern neerkomt op een computer die met het internet verbonden is.”