Hoe veilig is een Barbie met wifi?

Ook kinderen en hun speelgoed zijn kwetsbaar voor digitale inbrekers. Maar ouders zien de gevaren te weinig, waarschuwt Raj Samani, technisch directeur van Intel Security. Met name de impact van de hack van 124 duizend profielen van Nederlandse kinderen deze week wordt volgens hem nogal onderschat.

'Een pop kan een afluistermiddel worden, boodschappen doorgeven aan een kind en via de Wifi-verbinding ook andere aangesloten apparaten hacken.' Beeld afp

1. Hoe zijn de gegevens van 124 duizend kinderen in handen van hackers gekomen?

Op 14 november is Vtech, een Chinees speelgoedbedrijf, gehackt. Vtech maakt 'leerzaam' speelgoed voor kinderen van nul tot twaalf jaar. Voor sommige diensten loggen kinderen in. Bijvoorbeeld als ze tablets gebruiken, apps of leercomputers. Waarschijnlijk gebruikten de aanvallers een vrij bekende techniek om toegang te krijgen tot persoonlijke gegevens. Volgens technologiewebsite Motherboard ging het om een zogeheten 'SQL-injectie'. Websites bewaren privédata, net zoals productinformatie, in een database. Voor het communiceren met die database wordt de computertaal SQL (structured query language) gebruikt. Deze taal stuurt vragen naar de database en geeft de antwoorden terug aan de website.

Bepaalde delen van de database horen niet toegankelijk te zijn voor bezoekers, zoals informatie over wachtwoorden. Maar bij een manipulatie van SQL wordt slecht gecontroleerd wie welke vragen aan de database stelt. Zo is het toch mogelijk om informatie van gebruikers op te vragen.

Beeld afp

Gegevens 120 duizend Nederlandse kinderen gehackt

Bij een hack op de Chinese speelgoedfabrikant VTech zijn profielgegevens van wereldwijd ongeveer 6,4 miljoen kinderen buitgemaakt. In Nederland zijn ongeveer 120 duizend kinderen en ruim 100 duizend ouders slachtoffer van de hack. Lees hier het nieuwsartikel.

2. Hoe groot is de impact van de hack?

Voor zover Samani weet gaat het om de 'grootste hack van kindergegevens ooit'. In totaal zijn de gegevens van 4,9 miljoen ouders en maar liefst 6,4 miljoen kinderen wereldwijd gestolen.

In Nederland gaat het om 124.730 profielen van kinderen en 100.828 accounts van ouders. Samani: 'Daar zitten hele kwetsbare gegevens bij, zoals foto's, chatgeschiedenissen, persoonsgegevens.' Die leveren in het criminele circuit geld op.

Uit onderzoek van Intel Security blijkt dat voor inloggegevens vanaf 1 dollar tot 20-30 dollar wordt betaald, oplopend tot duizenden dollars voor bankgegevens. Voor creditcardgegevens plus een geboortedatum krijg je in Europa 35 dollar. De gehackte gegevens zijn een goudmijn voor de aanvallers.

Beeld Thinkstock

3. Wat kunnen ouders doen om dit te voorkomen?

Het belangrijkste, zegt Samani, is bewustwording: 'Als ouders kijken naar speelgoed voor hun kinderen letten ze enkel op de prijs van een item, niet op wat het betekent voor de veiligheid van hun kinderen. Je kunt je kinderen smartphones en tablets geven, maar wat betekent het als jouw kinderen permanent online zijn? Aan welke dreigingen stellen ze zich bloot?

Die vragen moet iedereen zich gaan stellen.' Hij wil mensen niet 'afschrikken' maar met de feestdagen voor de deur is bewustwording heel belangrijk. 'Leer kinderen bijvoorbeeld verschillende wachtwoorden voor sites te gebruiken. En vraag je ook af welke apparaten met internet verbonden moeten zijn.'

4. Waarom is speelgoed dat een verbinding met Wifi maakt een risico?

Het voorbeeld van een gehackte barbiepop met Wifi laat de risico's goed zien. De barbie kan via Wifi praten met de eigenaar. De pop maakt daarvoor eerst verbinding met internet, neemt daarna geluid van het kind op, stuurt dat naar partijen die de gegevens analyseren en vervolgens antwoordt de pop.

Maar de Amerikaan Matt Jakubowski toonde deze week aan dat de verbinding misbruikt kan worden om controle te krijgen over de barbie. Volgens The Guardian kan de pop een afluistermiddel worden, boodschappen doorgeven aan het kind en zijn via de Wifi-verbinding ook andere aangesloten apparaten te hacken.

Beeld afp
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden