Fabrikanten zien beveiliging connected speelgoed als ‘irritante sluitpost’

De beveiliging van ‘connected’ kinderspeelgoed is vaak niet in orde, zeggen beveiligingsexperts tegen NRC. Veel kinderspeelgoed is afgelopen jaren geëvolueerd van simpele pluche beren naar met internet verbonden slimme producten. De fabrikanten zien goede beveiliging van hun producten vaak „als irritante sluitpost, met alle risico’s van dien”, zegt hoogleraar computercriminaliteit Michel van Eeten.

Vorige maand werd bekend dat speelgoedwinkels als Intertoys en Bart Smit de pop My Friend Cayla voorlopig uit hun collectie halen, na een waarschuwing van Europese consumentenorganisaties. Hackers blijken via de pop te kunnen meeluisteren en de pop te kunnen laten spreken. Twee jaar eerder toonde een Britse beveiligingsexpert de gebreken van Cayla al aan tegenover de BBC, maar die waarschuwing werd destijds niet opgepikt.

Slim speelgoed en spelapps op de smartphone kunnen persoonlijke informatie – zoals namen, adressen, wachtwoorden en de locatie - van de kinderen verzamelen. Niet alleen de fabrikant kan bij die informatie, soms weten hackers zich ook toegang te verschaffen. Speelgoedfabrikanten hebben weinig verstand van IT, waarschuwt Van Eeten. Daarnaast zijn er nauwelijks „prikkels” om goede beveiligingsupdates te maken voor de producten, omdat er weinig regelgeving is op dit vlak en het geld binnen is als het product verkocht is. Een beveiligingslek kan leiden tot identiteitsdiefstal, of in het ergste geval zelfs ongepast contact of ontvoering, zo waarschuwden onderzoekers van een door de Amerikaanse senaat samengesteld comité vorige maand.

Meteen in paniek raken is niet nodig, de kans is nog klein dat een hacker zich op jouw kind richt, zegt Van Eeten. Toch raadt hij ouders aan om zo min mogelijk persoonsgegevens op te geven of het standaardwachtwoord van het product te veranderen in een zelfbedacht wachtwoord.

Pas op, deze pop begluurt uw kind Bijlage Twee, pagina 1-3