Barbie is gehackt

Leuk: met het internet verbonden poppen en knuffels die terug kunnen praten. Maar wie luistert er eigenlijk mee?

Illustratie Astrid van Rooij

Stel je voor, je dochter krijgt een Hello Barbie cadeau: een Barbiepop waartegen je kunt praten en die ook terugpraat. Als je je dochter een dag later lelijke taal hoort uitslaan, blijkt dat Barbie dingen terugzegt die niemand van Barbie zou verwachten. Wat blijkt? Barbie is gehackt.

Hello Barbie is een voorbeeld van ‘connected speelgoed’: verbonden met het internet. Alles wat je tegen Barbie zegt, wordt via wifi geüpload naar de cloud, waar met behulp van spraakherkenning en kunstmatige intelligentie een antwoord wordt bedacht. Barbie kent op dit moment achtduizend zinnen en onthoudt wat je kind heeft gezegd. Of, als je de techniek even wegdenkt: Barbie geeft gewoon een antwoord op de vraag van je kind. En hoe meer je kind tegen Barbie praat, des te beter Barbie je kind leert kennen.

Slimme knuffelbeesten en poppen ogen vriendelijk en onschuldig. Ze kunnen je kind ook veel leren. Zo weet de speelgoeddino van Cognitoys antwoord op allerhande vragen. Met de elektronische teddybeer van Fisher-Price kun je zelfs een deel van de opvoeding automatiseren: bijvoorbeeld door de beer tegen je kind te laten zeggen dat het bedtijd is. Maar wie luistert er eigenlijk mee?

Hell No Barbie

Wanneer je peuter met een connected teddybeer praat, stuur je eigenlijk een driejarige het internet op zonder toezicht. Het is daarom belangrijk dat speelgoedfabrikanten hun producten veilig en betrouwbaar maken. Tot nu toe lijken privacy en beveiliging bij connected speelgoed echter een ondergeschoven kindje.

Afgelopen maand werden de speelgoedcomputers van het Chinese Vtech gehackt; afgelopen jaar werd duidelijk dat poppen en knuffels van Mattel kwetsbaar zijn voor hacks. Vorig jaar liet een Britse beveiligingsonderzoeker zien dat Cayla, een pop die het internet gebruikt om met kinderen te communiceren, gemakkelijk kan worden overgenomen door derden.

Meer over de hack van de Vtech:

De introductie van Hello Barbie leidde in de Verenigde Staten tot een pittige campagne van CCFC, een Amerikaanse ngo die kinderen wil beschermen tegen commercie onder de slogan Hell No Barbie. Zo twijfelt de ngo aan de belofte van fabrikant Mattel dat Hello Barbie geen commerciële mededelingen doet. De pop praat namelijk wel met je kind over de laatste films en popartiesten.

Volgens Mattel worden de conversaties van de kinderen niet gedeeld met derden. Maar medewerkers van Mattel kunnen wel incidenteel conversaties terugluisteren – voor ‘technische doeleinden’.

Veiligheidsspecialisten ontdekten onder andere dat Hello Barbie automatisch verbinding zocht met ieder netwerk dat ‘barbie’ in de naam heeft. En de cloudservers waarmee Hello Barbie werkt, waren niet goed beveiligd tegen ongeoorloofde toegang. Dat betekent dat de dialogen tussen kind en Barbie ook voor anderen toegankelijk waren. De problemen zijn volgens Mattel inmiddels opgelost, maar dat betekent niet dat Barbies beveiliging voor altijd geregeld is.

Digitale indringers

Voor speelgoedfabrikanten ligt er een enorme markt op het gebied van apps en data. Hoe eerder in hun leven mensen online gaan, des te interessanter dat is voor bedrijven. Connected speelgoed kan inzicht geven in het gedrag, de wensen en de voorkeuren van kinderen – de consumenten van de toekomst.

Het in de cloud opslaan van gesprekken tussen kinderen en speelgoed wordt problematisch als kwaadwillenden toegang kunnen krijgen tot die dialogen. Een digitale indringer kan connected speelgoed zo veranderen in afluisterapparatuur. Nog enger wordt het als kinderlokkers van buitenaf via een met internet verbonden pop met je kind kunnen communiceren.

Daarnaast kan accountinformatie worden gehackt. Afgelopen maand werd er ingebroken op de speelgoedcomputers van Vtech – de hacker wilde de kwetsbaarheid van het speelgoed laten zien. Hij kreeg toegang tot gegevens van klanten zoals namen, e-mailadressen, versleutelde wachtwoorden, ip-adressen, woonadressen en downloadgeschiedenissen. Bij die gegevens zaten ook de data van circa 125.000 Nederlandse kinderen en 100.000 volwassenen.

Een digitale indringer kan speelgoed veranderen in afluisterapparatuur

Wat kun je doen?

Als gegevens van connected speelgoed worden gestolen of misbruikt, is het voor ouders moeilijk om actie te ondernemen. „Je recht halen in dit soort zaken is buitengewoon ingewikkeld, zeker als de fabrikant in het buitenland zit”, vertelt ict-jurist Arnoud Engelfriet.

Volgens de Nederlandse Wet Bescherming Persoonsgegevens zijn ouders verantwoordelijk voor de privacybescherming van kinderen tot zestien jaar. Vanuit de Europese Commissie wordt gewerkt aan strengere wetgeving, waarbij de uitdrukkelijke toestemming van de ouders nodig is om kinderen online te laten gaan.

Dat is winst, zegt Remco Pijpers, specialist kinderen en internet van mijnkindonline.nl. „Jarenlang werd bij bijna alle zaken die misgingen met kinderen op internet, de schuld in de schoenen van ouders geschoven. Moesten ze hun kinderen maar beter in de gaten houden. Maar ouders kunnen pas echt hun verantwoordelijkheid nemen wanneer bedrijven hard kunnen maken dat ze de privacy van kinderen beschermen. Dat vraagt om transparantie.” De Consumentenbond heeft nog niet naar connected speelgoed gekeken; voorlopig staat het ook nog niet op het programma om er onderzoek naar te doen.

Vooralsnog kunnen ouders die connected speelgoed willen kopen voor hun kind niet veel meer doen dan de gebruiksaanwijzing goed te bestuderen. Ga na of je als ouder toegang hebt tot de data die in de cloud worden opgeslagen en kijk hoe het speelgoed beveiligd is tegen onbedoelde toegang van buitenaf. Van belang is verder om te controleren wat er gebeurt met de opgeslagen gegevens van je kind – ook als het speelgoed niet meer wordt gebruikt, stuk gaat of kwijt raakt.