Vtech hack: laat het uw wake-up call zijn

Vtech hack: laat het uw wake-up call zijn

DearBytesBlogVtech hack: laat het uw wake-up call zijn

De gegevens van 125.000 Nederlandse kinderen zijn gestolen bij een hack op Vtech. Wereldwijd betreft het de data van 6,4 miljoen kinderen en nog eens 4,9 miljoen ouders. De nummers duizelen, maar zijn niet opvallend tussen alle andere hacks die in 2015 bekend zijn geworden. Maar dat het hier data van kinderen betreft én data die voortkomt uit speelgoed met een internetverbinding maakt het wel bijzonder.

Over de details van de hack is genoeg geschreven. De hacker, van wie de identiteit en het motief nog onbekend zijn, staan in contact met Motherboard, dus dat is een interessante om te lezen. Een andere interessante publicatie staat op de Daily Mirror.

Waar het mij om te doen is, te wijzen op die aspecten waardoor deze hack anders is dan al die andere.

Data van Kinderen

Allereerst natuurlijk dat het hier (ook) om data van kinderen gaat. Zelfs om foto’s van die kinderen, als we de hacker mogen geloven. Die gebruiken de apparatuur, leren ermee en maken er dus foto’s mee. En hun profiel alsmede handelingen worden opgeslagen door Vtech.

Vtech

Wat moet een aanvaller nu met data van kinderen? Nou ja, daar kan je in theorie van alles bij bedenken, maar het meest makkelijke is: verkopen. Er is een handel in gestolen data online en een identiteit levert gewoon geld op. Want met een identiteit kan gebruik gemaakt worden van allerlei diensten online, zaken besteld worden, enzovoorts. Een identiteit van een kind is daarbij misschien minder waardevol (want minderjarig, op dit moment), maar in zijn algemeenheid moet hieraan wel gedacht worden als motief voor datadiefstal.

Identiteitsfraude is het feitelijk misbruiken van iemand anders’ identiteit. Wie daar nog nooit mee te maken heeft gehad, kan zich er moeilijk iets bij voorstellen. Maar voorbeelden geven toch wel duidelijk aan hoe groot de impact kan zijn van identiteitsfraude: www.websitevoordepolitie.nl.

Internet-of-Things

Internet_of_ThingsAls tweede opmerkelijke factor betreft het zoals gezegd speelgoed met een internetverbinding. Apparaten, anders dan “gewone” computers, die met het internet verbonden worden, noemen we ook wel het “Internet of Things” ofwel IoT. Praten over IoT is hip en ook wel hype. En daar speelt ook de factor beveiliging wel in mee. Want hoe zeker weten we dat de makers van dit soort apparaatjes de beveiliging ervan wel serieus nemen? Het is tenslotte inmiddels iedereen wel duidelijk dat het aansluiten op internet mogelijkheden maar ook gevaren met zich meebrengt.

Security experts vragen al jaren aandacht voor de beveiliging van IoT. Want zij weten dat die beveiliging door makers dus helemaal niet op orde is. Althans: daar kan je als gebruiker in elk geval helemaal niet zomaar vanuit gaan. Het is echt nodig om even goed te controleren wat het apparaat precies doet met het internet en het dan pas te gaan gebruiken. Of niet.

Schoolvoorbeeld van IoT Gevaar

In die zin kan de hack op Vtech wel als een schoolvoorbeeld gezien worden van hoe het fout kan gaan met IoT. Het “smart” speelgoed van Vtech maakt verbinding met hun appstore en andere online diensten. In dat proces wordt data van gebruikers door Vtech verzameld en opgeslagen. Niks vreemds tot nu toe en ook niet per sé erg (je kunt een discussie voeren over nut en noodzaak maar daar gaat het nu niet om). Wat nu blijkt is dat Vtech die data helemaal niet veilig opslaat. Onversleuteld dus: zonder encryptie. Dat is in mijn optiek nalatig gedrag, en zal ook in Nederland vanaf 1 januari een reden zijn om organisaties die een datalek ervaren te beboeten.

Encryptie is de laatste weken weer in een kwaad daglicht gekomen na de aanslagen in Parijs. Volstrekt onterecht overigens, want de aanvallers daar hebben niet de minste moeite gedaan om hun sporen te verbergen, laat staan hun data te versleutelen. Maar encryptie is gewoon noodzakelijk om het soort ellende als bij Vtech te voorkomen en dus echt niet weg te denken in het tijdperk van IoT. Iedereen die u anders doet geloven (politici, media) zijn slecht geïnformeerd.

Maar goed, Vtech was naar mijn smaak dus nalatig met hun data opslag. En dus kon iemand met toegang tot de systemen van Vtech al die data verkrijgen én uitlezen. Uw speelgoed is dus niet gehackt, maar Vtech zelf. Uw “cloud” aanbieder. Waar de data voor gebruikt zal gaan worden, is nog niet duidelijk. Maar de kans is groot dat de slachtoffers wat meer spam email gaan ontvangen de komende tijd.

Veiligheid zit in uw portemonnee

marktwerkingAls het niet uw apparaat is dat wordt gehackt maar de fabrikant van het spul: wat kunt u daaraan dan doen? Met al die apparatuur die met het internet verbonden wordt, gaan er nog veel meer Vtech achtige bedrijven op staan die ineens data gaan verwerken. Terwijl ICT (nog) niet hun kerncompetentie is. Dus de vraag wat u kunt doen is behoorlijk relevant.

Er is maar 1 manier om in dit scenario invloed uit te oefenen op de beveiliging van uw data: met uw portemonnee.

U moet simpelweg apparaatjes die niet veilig zijn, niet willen kopen. En al helemaal niet als het speelgoed betreft voor uw kinderen. Het ligt 100% aan de vraagkant dat de aanbodkant dit niet beter doet. Dat klinkt misschien als de wereld op zijn kop, maar zo werkt het in de marktwerking nu eenmaal. Het is een kwestie van vraag en aanbod. Als u niet vraagt om speelgoed waarvan data versleuteld wordt opgeslagen, maar om speelgoed. (punt): wat krijgt u dan?

Nogmaals: het zijn geen ICT specialisten aan de andere kant van de lijn. Zij gaan allemaal eerst nog dit soort Vtech incidenten nodig hebben voordat zij zelf inzien dat ze moeten verbeteren. Dus neem het heft maar in eigen hand en koop dit spul niet zonder garanties.

Nederlandse Voedsel en Waren Autoriteit

RO_EZ_NVWA_Logo_Homepage_nl

Het is niet helemaal waar trouwens dat we overgeleverd zijn aan marktwerking. Er is ook nog de Nederlandse Voedsel en Waren Autoriteit (NVWA) die speelgoed controleert op kwaliteit. Het wordt van de markt gehaald als het niet veilig is. De vraag is: wat is veilig? Er is een Warenwetbesluit Speelgoed uit 2011 en een Europese verordening uit 2006 met betrekking tot weekmakers. Natuurlijk worden allemaal belangrijke zaken gecontroleerd, zodat baby’s niet stikken in te kleine onderdelen of vergiftigd raken door smerige chemicalien. Maar het internet of data opslag kom ik niet tegen (correct me if i’m wrong).

Petitie Data Speelgoed

Teken de Petitie

Oproep aan de NVWA

Dus bij deze een oproep aan NVWA: ga actief controleren op internetkoppelingen in speelgoed en de veiligheid van opslag van persoonsgegevens die daarmee gepaard gaat.

En om dat kracht bij te zetten heb ik een online petitie aangemaakt op petities.nl. Als u het eens bent, laat dat dan even weten door de petitie te ondertekenen: http://datainspeelgoedveilig.petities.nl/

Mijn advies aan de lezer voor nu:

Wacht niet af, en wees kritisch op hetgeen u in uw schoentje vindt.