Geweldig, een pop die kinderen antwoorden geeft op hun vragen. Maar die pop is verbonden met internet, en dat kan gevaarlijk zijn. ?Speelgoedfabrikanten hebben weinig kaas gegeten van IT.?
Lieve grote poppenogen, blond haar en een roze balletrokje. Speelgoedpop ?My Friend Cayla? heeft op het eerste gezicht weinig kwaads in de zin. Ze moet een ?beste vriendin? zijn voor kinderen en praten over hobby?s, huisdieren en haar favoriete eten. Als je haar aansluit op internet kan ze ook moeilijkere vragen beantwoorden over zaken als aardrijkskunde. Maar in een video gepubliceerd door de Britse beveiligingsexpert Ken Munro zegt Cayla ineens ?Merry bloody Christmas? in de camera ? met dezelfde stralende glimlach als altijd.
Wat is er aan de hand? Cayla is te hacken; wie de expertise heeft kan via bluetooth de pop van alles laten zeggen tegen een kind. Zo wordt de privacy geschaad van kinderen, de meest kwetsbare groep gebruikers.
Vorige maand werd bekend dat Blokker Holding ? eigenaar van speelgoedwinkels Intertoys en Bart Smit ? Cayla voorlopig uit de collectie haalt. Europese consumentenorganisaties hadden aan de bel getrokken nadat uit onderzoek van de Noorse consumentenbond bleek dat hackers kinderen via het speelgoed kunnen afluisteren. Bovendien wordt alles wat kinderen tegen Cayla zeggen, doorgestuurd naar een Amerikaans bedrijf gespecialiseerd in spraakherkenning. Waarschijnlijk voor betere gesprekken tussen kinderen en de pop, zonder dat de meeste ouders op de hoogte zijn.
Connected speelgoed
Twee jaar geleden ontdekte Ken Munro al dat je simpel kan ?inbreken? bij Cayla. Ondanks aandacht van Britse media bleef de pop op de markt. Een woordvoerder van Blokker zegt dat het concern niet op de hoogte was: het zou pas van de gebreken weten sinds de waarschuwing van consumentenbonden vorige maand.
Cayla is ?connected? speelgoed, in dat genre is er steeds meer te kiezen voor ouders. Het Britse bureau Juniper Research schat dat de jaarlijkse omzet in met internet verbonden speelgoed stijgt van
2,7 miljard euro in 2015 naar 10,7 miljard in 2020.
Zo is er de knuffel Talki. Ouders en vrienden kunnen op afstand met hun smartphone berichten sturen naar Talki; die spreekt de boodschap daarna uit aan het kind. Fabrikant Fisher Price heeft een slimme beer die ?onthoudt? wat je kind zegt voor betere gesprekken. Slimme kinderhorloges laten met gps zien waar kinderen uithangen.
Ook zijn er ?beeldbabyfoons?, waarmee ouders op afstand kunnen praten tegen baby?s. De apparaten bevatten ook een repertoire aan slaapliedjes en tot vier op afstand bestuurbare camera?s voor in de kinderkamer. De beelden kunnen ouders op de smartphone bekijken.
Wifi is probleem
Waar klassieke babyfoons werken met een lokaal radionetwerk, geven deze babyfoons de informatie door via wifi. Met huis-tuin-en-keuken-apparaten die met internet worden verbonden, loop je een risico, zegt hoogleraar computerveiligheid Michel van Eeten (TU Delft). Dat soort spullen worden volgens hem steeds vaker bestookt door hackers.
Je moet er bij Cayla niet aan denken dat een pedofiel aan digitaal kinderlokken gaat doen met zo?n pop, zegt expert Munro. ?Of dat dieven meeluisteren of het stil wordt in huis, om toe te slaan als iedereen naar bed is.?
Fabrikanten van goedkopere apparaten hebben volgens hoogleraar Van Eeten ?te weinig prikkels? om de beveiliging op orde te krijgen en houden. Met updates zouden ze bijvoorbeeld programmeerfouten in de software kunnen herstellen zodat hackers niet via een ?achterdeurtje? kunnen binnentreden, maar dat gebeurt te weinig. ?Fabrikanten zien het als weggegooid geld?, zegt Van Eeten. ?Het product is verkocht, het geld is binnen. Vaak hebben fabrikanten ook weinig kaas gegeten van IT.?
In 2015 werd de Chinese fabrikant Vtech ? dat computers en tablets voor kinderen maakt ? gehackt. Een hacker kon bij gegevens van miljoenen kinderen en ouders, net als de voor de accounts gemaakte profielfoto?s van kinderen. De Amerikaanse site Vice, die als eerste over het lek publiceerde, schreef dat de hacker aandacht wilde vragen voor de slechte beveiliging bij het bedrijf.
Criminele activiteiten
Volgens Van Eeten is de kans dat het een hacker specifiek om kinderen te doen is, nog klein. Gehackte apparaten worden volgens hem vooral voor criminele activiteiten gebruikt. Bijvoorbeeld DDOS-aanvallen: er wordt zoveel internetverkeer naar een server of site gestuurd dat deze vastloopt. Daarvoor wordt een netwerk van duizenden ? soms honderdduizenden ? gehackte laptops en andere slimme apparaten gebruikt. Sites als Twitter, Spotify, Netflix en Airbnb werden in oktober bij ??n grote aanval deels platgelegd. In totaal werden vorig jaar bijna achtduizend DDOS-aanvallen geregistreerd door het Europese onderzoeksbureau Security Operations Center.
Maar er zijn wel degelijk voorbeelden van hackers die w?l kwaad willen met individuen. Sommige criminelen zijn ge?nteresseerd in persoonsgegevens van kinderen, om ze te gebruiken voor identiteitsfraude. En enkele jaren geleden werd een destijds achttienjarige Rotterdammer veroordeeld voor het op afstand inbreken bij minimaal tweeduizend computers. Hij zette onder meer webcams van tienermeisjes aan om ze te bespieden.
Mede door de DDOS-aanvallen willen steeds meer beleidsmakers fabrikanten verplichten de beveiliging te verbeteren van ?slimme? producten als speelgoed. Zowel de Europese Commissie als het Nederlandse ministerie van Economische zaken doen daar nu onderzoek naar. D66 wil een keurmerk voor de beveiliging van slimme apparaten.
Als het in de huidige situatie misloopt, staan consumenten niet sterk in de rechtszaal, zegt hoogleraar Van Eeten. ?De fabrikant is alleen aansprakelijk als er grote fysieke of economische schade is. Als video?s van een kinderkamer op internet verschijnen, kun je heel moeilijk bij een rechter aantonen dat je fysiek leed hebt.?
Veiliger e-speelgoed
Wat kunnen ouders doen om hun kinderen veilig te laten spelen met connected speelgoed ? als ze dan per se hun poppen willen koppelen aan het net? In november publiceerde een expertgroep een checklist voor ouders. Een belangrijke tip: verschaf alleen persoonsgegevens die strikt noodzakelijk zijn , of verzin persoonsgegevens voor een speelaccount. Een ander advies: zet speelgoed helemaal uit als het kind klaar is met spelen.
Pas ook het standaardwachtwoord van bijvoorbeeld beveiligingscamera?s in de kinderkamer aan ., ?Dat is het allertreurigste?, zegt de Delftse hoogleraar Van Eeten. ?Gewone consumenten moeten zich eerst afvragen hoe ze het wachtwoord kunnen aanpassen van hun babycam of hoe ze de router moeten aanpassen, in plaats van dat de fabrikant dat goed regelt.?
Standaardwachtwoorden van fabrikanten zijn vaak op internet te vinden en een hacker is dan zo binnen. Via internet zijn duizenden livebeelden te zien van kantoren, huiskamers en kinderkamers van nietsvermoedende mensen.
Let ook goed op de reputatie van de speelgoedfabrikant en pas op voor goedkope troep, bijvoorbeeld uit Azi?. De Britse beveiligingsexpert Ken Munro zegt: ?Er zijn gelukkig hele vooruitstrevende speelgoedfabrikanten die de beveiliging goed op orde hebben, maar zij zijn in de minderheid. Voordat de rest van de fabrikanten overstag gaat, is echt strengere wetgeving nodig.?