Miljoenen gesprekken tussen kinderen en pratende knuffels uitgelekt
Ruim 2 miljoen gesprekken die ouders en kinderen voerden via hun pratende CloudPets-knuffels waren online voor iedereen te beluisteren.
‘Gratis verzending naar militairen!’, prijkt bovenaan de website van het Amerikaanse CloudPets. De knuffels, die in 2015 op de markt kwamen, kunnen berichten afspelen die ouders inspreken via een app. Kinderen kunnen ook berichtjes terugsturen door tegen hun knuffel te praten. Ideaal om contact te houden met het thuisfront, is de boodschap van de reclamespotjes.
Tekst loop verder onder de video.
Gewaarschuwd
Maar CloudPets verzuimde de berichten veilig op te slaan, schreef de Australische beveiligingsonderzoeker Troy Hunt vandaag. Er zat bijvoorbeeld geen wachtwoord op de server. Zo waren bijna 2,2 miljoen geluidsopnames van ouders en kinderen te beluisteren voor iedereen die daar een beetje moeite voor wilde doen. Ook foto's, e-mailgegevens, gebruikersnamen en wachtwoorden van meer dan 800.000 gebruikers lekten uit.
Daar zitten waarschijnlijk ook een aantal Nederlanders tussen. Tussen de e-mailadressen zitten 104 adressen die op .nl eindigen, vertelt Victor Gevers, een Nederlandse ethische hacker van de non-profitorganisatie GDI.foundation. Hij ontdekte afgelopen december al dat je de CloudPets-databank zo kon binnenwandelen. “Ik heb de fabrikant gewaarschuwd via Twitter, Facebook, LinkedIn, hun helpdesk en zelfs op hun privémail, maar kreeg geen reactie.”
De slechte beveiliging bleef niet zonder gevolgen. In januari zag Gevers dat er was ingebroken in de database en dat de gegevens waren gekopieerd. “De hele database van bijna tien gigabyte is nu vrij beschikbaar. De audio, maar ook de wachtwoorden.” Dat kan bijvoorbeeld gevolgen hebben voor mensen die vaker hetzelfde wachtwoord gebruiken. Desondanks heeft fabrikant Spiral Toys haar klanten nog steeds niet gewaarschuwd. Gevers overweegt dat nu zelf te doen.
'Ik ben nu de baas'
Het is niet de eerste keer dat pratend speelgoed gehackt wordt. Ruim een jaar geleden bleek dat hackers een pratende Barbiepop konden gebruiken als afluisterapparaat. Rond dezelfde tijd stalen hackers gegevens van 6 miljoen kinderen die ‘leerzaam’ speelgoed van Vtech gebruikten. Ook de gegevens van 125.000 Nederlandse kinderen lagen toen op straat.
In Duitsland werd deze maand de pratende pop Cayla verboden, omdat die volgens de Duitse telecommunicatiewaakhond ongemerkt gesprekken kan opnemen en doorsturen. Hackers ontdekten eerder al dat ze Cayla van alles konden laten zeggen, zoals ‘Ik ben nu de baas’ en ‘Rustig aan, of ik schop je helemaal verrot’. Wie al een pop gekocht had, wordt geacht die onschadelijk te maken.
Tekst loopt verder onder video
Moet je, gezien de risico’s, dit soort poppen niet helemaal verbieden? “Nee, zeker niet”, zegt Gevers beslist. “Maar je moet de fouten wel naar buiten brengen. Wie in de toekomst zulk speelgoed maakt moet zich afvragen: wat voor data krijg ik in handen en hoe ga ik dat beveiligen?” En wat moet je doen als je nu al een CloudPets hebt? “Haal de batterij eruit. Dan heb je nog steeds een leuke pop.”
