Eind november 2015 werd bekend dat een hacker zich toegang had weten te verschaffen tot klantenaccounts van speelgoedfabrikant VTech. VTech is fabrikant van speelgoed. Maar niet van eenvoudige blokken en poppen, nee, het speelgoed van VTech is elektronisch en in toenemende mate ‘smart’. Dat wil zeggen dat de items verbinding kunnen maken met het internet voor verschillende toepassingen. Enkele voorbeelden zijn de DigiGo, een soort smartphone voor kinderen waarmee kinderen via wifi spraak- en tekstberichten, foto’s en tekeningen met familieleden kunnen delen en de Kidisecret Foto, een digitaal dagboek en camera in één, die met een USB-kabel aan een pc kan worden aangesloten voor updates en back ups. Bij alle ‘connected toys’ loopt dit via een account dat wordt aangemaakt bij VTech. Zowel volwassenen als kinderen kunnen een dergelijk account aanmaken.
Volgens de eerste berichten had de hacker bij zijn hack namen, e-mailadressen, versleutelde wachtwoorden, geheime vragen met bijbehorende geheime antwoorden, ip-adressen en postadressen van ruim 5 miljoen individuen buit gemaakt. Zo’n 200.000 van de accounts waren van kinderen. Maar al snel werd bekend dat het niet alleen om de administratieve gegevens van de accounts ging: er waren weldegelijk ook foto’s (ik stel mij zo voor: voornamelijk van jonge kinderen), chatlogs en audio-opnamen gestolen. En hoe heeft de hacker dit enorme datalek (experts zeggen: het op 4 na omvangrijkste ooit) tot stand gebracht? Dat zal toch een lastig klusje geweest zijn, mag je verwachten. Vooral omdat het hier gaat om privacygevoelige gegevens van kinderen. Het antwoord luidt: met een SQL-injectie.
Maar wacht, een SQL-injectie. Die term heb ik vaker gehoord, hoor ik u bijna denken. U heeft gelijk. Al in 1998 werden de beveiligingsproblemen met SQL voor het eerst publiekelijk besproken. Er zijn dan ook al vele jaren simpele trucs algemeen bekend die een SQL-injectie onmogelijk maken. Als die beveiligingsmaatregelen een persoon waren, speelde die persoon niet meer met speelgoed van VTech, maar mocht die persoon stemmen en autorijden!
Maar VTech is niet de enige speelgoedfabrikant die ‘smart’ speelgoed maakt. Begin februari werd duidelijk dat ook de slimme beer van Fischer Price wat minder intelligent in elkaar zit dan de fabrikant ons wil doen geloven. De beer kan communiceren met het kind. Met behulp van een wifi-connectie en een speciale app kunnen de ouders de beer informatie geven, waardoor de beer de naam van het kind sneller leert en bijvoorbeeld aan het kind kan aangeven wanneer het bedtijd is. Beveiligingsonderzoekers van het bedrijf Rapid7 vonden verscheidene domme programmeerfouten in de app, die het voor hackers mogelijk maakten om onder andere namen en geboortedata van kinderen te achterhalen.
Het verschil tussen het geval van VTech en het geval van Fischer Price, is dat het de bij de laatste alleen om een potentieel gevaar draaide. De onderzoekers hebben Fischer Price verwittigd en die hebben de beveiligingsissues verholpen. Er is dus geen schade geweest. Datzelfde geldt niet voor VTech, waarbij een hacker de gegevens heeft bemachtigd. Gelukkig lijkt het alsnog een relatief morele hacker te zijn, die verder geen plannen heeft met de gegevens. Maar hij heeft, om zijn verhaal te illustreren, wel enkele duizenden gegevens gepubliceerd. En dus, kunnen er claims van slachtoffers gaan volgen.
Dat een datalek plaatsvindt door zeer slordige fouten is uiteraard zeer ernstig, vooral als het om weerloze slachtoffers zoals kleine kinderen gaat. Maar wellicht is dat nog te vergeven. Speelgoedfabrikanten zijn nu eenmaal geen IT-beveiligingsexperts en misschien kunnen we ergens wel begrijpen dat zij in hun enthousiasme over de mogelijkheden van ‘smart’, of in andere woorden ‘the Internet of Things’ volledig voorbijgaan aan de mogelijke gevaren. Misschien moeten wij hen beoordelen op hun intenties. Hoe hebben de bedrijven gehandeld nadat deze gevaren bekend zijn geworden? Fischer Price heeft snel gehandeld om de app veiliger te maken. VTech heeft de beveiliging van zijn databases versterkt en een ‘cyber forensic team’ aangesteld. Fantastisch. Maar VTech deed nog iets anders, iets minder prijzenswaardigs. Het bedrijf heeft zijn gebruiksvoorwaarden aangepast. Sinds 24 december 2015 geldt:
“You acknowledge and agree that you assume full responsibility for your use of the site and any software or firmware downloaded therefrom. […] You acknowledge and agree that any information you send or receive during your use of the site may not be secure and may be intersected or later acquired by unauthorized parties.”
In het licht van de nieuwe meldplicht datalekken (Wbp artikel 34a) lijkt het mij interessant om deze gebruiksvoorwaarden eens juridisch tegen het licht te houden. Mag een fabrikant zijn verantwoordelijkheden wel op deze manier afschuiven op de consument? Mij lijkt het in elk geval zeer onverstandig om dit soort voorwaarden juridisch te accepteren. Niet alleen speelgoed maar zo’n beetje alle denkbare gebruiksartikelen zullen binnen enkele jaren een ‘slimme’ variant hebben. Al die smart devices meten, registreren en verwerken gegevens over de gebruiker. Het is inmiddels duidelijk dat de meeste fabrikanten van smart devices en de ontwikkelaars van de bijbehorende apps security absoluut niet als een prioriteit beschouwen. Kunnen wij van de consument verwachten dat die zich volledig inleest in wat technisch mogelijk is, wat dus eventueel een veiligheidsrisico zou kunnen opleveren en hoe er in de algemene voorwaarden met het vraagstuk van de verantwoordelijkheid wordt omgegaan bij elk slim product dat hij overweegt aan te schaffen? Het lijkt mij dat hier schone taken liggen voor de Autoriteit Persoonsgegevens, de Consumentenbond, de ACM en de overheid om een zeer duidelijk statement af te geven. Ik zou het statement zo ongeveer zo formuleren: Als je als fabrikant ‘slimme’ apparaten aan de man wilt brengen, moet je zelf maar zorgen dat je slim genoeg bent om aan de bescherming van de privacy van je gebruikers te denken. Ben je daar toch te dom voor? Dan ben jij daar verantwoordelijk en aansprakelijk voor.
Dirk Cools, Country Manager G DATA Benelux
