Zelfs kinderspeelgoed is niet veilig voor hackers

De fabrikant van educatieve kindercomputers Vtech is gehackt. Ook de data van 125.000 Nederlandse kinderen werd gestolen.

Speelgoed van het Chinese bedrijf Vtech.

Fabrikant Vtech is gehackt. De Chinese producent maakt computers en tablets voor kinderen. Zoals een Hello Kitty-‘laptop’ voor baby’s, met kleurige knopjes. Computers voor oudere kinderen zijn ‘connected’ speelgoed: aangesloten op internet. Via de appstore van Vtech kunnen kinderen spelletjes en apps downloaden voor hun Vtech-computer, nadat ouders een account hebben aangemaakt.

Juist dit soort accountinformatie werd gestolen, toen Vtech vorige maand werd gehackt. Veel informatie van de klantendatabase van de Vtech-appstore is buitgemaakt, liet het bedrijf gisteren weten.

Ook kinderfoto's buitgemaakt

Het gaat volgens Vtech om klantgegevens van ruim 6 miljoen kinderen en bijna 5 miljoen ouders: namen, e-mailadressen, versleutelde wachtwoorden, woonadressen en downloadgeschiedenis. Ook de gegevens van ongeveer 125.000 Nederlandse kinderen en 100.000 volwassenen zijn gehackt, zo blijkt uit een overzicht op de Vtech-site. De fabrikant zegt dat er geen creditcardgegevens zijn gestolen. Belangrijker is dat er waarschijnlijk ook foto’s van kinderen zijn buitgemaakt. De website Motherboard van Vice, dat als eerste over de hack schreef, publiceerde maandag geanonimiseerde foto’s van kinderen en ouders. De hacker had contact met ze opgenomen en als bewijs 3.832 foto’s toegestuurd.

De foto’s kwamen van Kid Connect: een programma waarbij ouders via de smartphone kunnen chatten met hun kinderen die een Vtech-tablet hebben. Vtech moedigt het nemen van profielfoto’s bij die dienst aan.

In een verklaring op de website stelt Vtech dat het de fotodiefstal niet kan bevestigen „omdat het onderzoek nog in volle gang is”.

Volgens Motherboard zocht de hacker contact met de techwebsite om aandacht te vragen voor de slechte beveiliging bij Vtech. Per chat liet de hacker weten „ziek ” te zijn van het feit dat hij „zo makkelijk” toegang tot alle data kreeg. Daarmee lijkt het er dus op dat de hacker de alarmbel wil luiden en geen misbruik van de data zal maken.

Weinig aandacht voor privacy

De hack laat zien dat kinderdata in handen van een grote fabrikant niet niet altijd veilig zijn online. Bij Job Vos, privacydeskundige bij Kennisnet, een stichting die zich bezighoudt met ict in het onderwijs, zijn behalve deze en de grootschalige hack van de Sony Playstation spelcomputers in december 2014, geen andere hacks van connected speelgoed bekend.

Maar hij sluit voor de toekomst zeker niets uit. „Speelgoedfabrikanten leggen het accent op functionaliteit: het moet er leuk uitzien. Bij speelgoed dat online kan, wordt zelden iets geregeld voor het bijhouden van bijvoorbeeld beveiligingsupdates. Bij registraties van klantgegevens worden wel zo veel mogelijk gegevens uitgevraagd. Aandacht voor privacy en veiligheid komen op de laatste plaats.”

Dat geldt ook voor de gebruikers, zegt Remco Pijpers van Mijn Kind Online, dat onderzoek doet naar digitale media voor kinderen en onderdeel is van Kennisnet. „Kinderen en ouders zijn vaak enthousiast over dit nieuwe speelgoed, maar vergeten dat connected speelgoed in de kern neerkomt op een computer die met het internet verbonden is.”