Volledig scherm
© Shutterstock

Stemopnames pratend speelgoed na hack gestolen

Gesprekken die kinderen met hun pratende CloudPet-poppen voerden waren enige tijd gewoon te vinden op het internet. Dat meldt CNN op basis van een rapport internetveiligheidsexpert Troy Hunt. De persoonlijke informatie in meer dan 820.000 gebruikersaccounts zou zichtbaar zijn geweest voor hackers.

Via apps kunnen ouders de poppen, die in 2015 gelanceerd werden, laten praten met hun kinderen. Al deze gesprekken werden opslagen op een cloudserver van Amazon, in plaats van op het apparaat waarop de app geïnstalleerd is. CloudPet verzuimde deze server goed te beveiligen. Daardoor konden met enige moeite gesprekken, foto's en e-mailgegevens worden gevonden in de database.

Volgens Hunt werd de database op een zeker moment gehackt en gijzelden hackers tijdelijk alle gegevens van gebruikers. Het zou zijn gegaan om meer dan 2 miljoen stemopnames. Pas als CloudPet een bepaald bedrag in bitcoins zou betalen, zouden ze de gegevens teruggeven. Uiteindelijk heeft de fabrikant zelf een back-up teruggezet. CloudPet heeft de gebruikers echter niet op de hoogte gesteld van het datalek.

Inmiddels zijn de gegevens niet meer op het internet te vinden. Toch waarschuwt Hunt dat gebruikers die hun CloudPet-wachtwoorden ook elders gebruiken dat niet meer te doen. De kans dat criminelen deze wachtwoorden hebben, is groot. 

Het bedrijf heeft nog niet gereageerd op de inhoud van het rapport.

Quote

Je mag verwachten dat een product veilig is en blijft als je het koopt

Babs van der Staak

Afluisteren via speelgoed
Het is niet voor het eerst dat gehackt speelgoed voor ophef zorgt. Eerder deze maand werden ouders in Duitsland nog opgeroepen om de pop Cayla te vernietigen, omdat criminelen kunnen binnendringen in het systeem. In Nederland werd de pop in december vorig jaar al uit de schappen gehaald. En in 2015 werden de gegevens van 125.000 Nederlandse kinderen gestolen bij een hack bij speelgoedfabrikant VTech.

Dat dit kan gebeuren, komt onder meer doordat er nog vrij weinig regels zijn over speelgoed dat met het internet verbonden is, zegt Babs van der Staak, woordvoerder van de Consumentenbond. ,,Het staat allemaal nog in de kinderschoenen. Natuurlijk gelden wel de gewone regels, namelijk dat je een goed en veilig product op de markt moet brengen.'' Kritisch is ze wel: ,,Als bedrijf heb je wel een zorgplicht voor je gebruikers en je mag verwachten dat een product veilig is en blijft als je het koopt.''

Voor een speelgoedfabrikant zijn er dus nog weinig regels over hoe de producten beveiligd moeten worden. Als ouder moet je dan ook goed nadenken of je zulk speelgoed wel in huis wilt halen, zegt Van der Staak. Mijn Kind Online gaf al in 2015 hetzelfde advies: ,,Denk heel kritisch na voor je kind. Ouders zouden meteen wantrouwig moeten zijn zodra een kind een spel speelt dat verbonden is met internet. Gebruik verschillende mailadressen, nepnamen en leeftijden.'' Van der Staak: ,,Je kunt het apparaat ook uitzetten als er niet mee gespeeld wordt. Dan kan hij niet blijven monitoren. En ook het internet uitschakelen als het niet gebruikt wordt is een goede optie.''