Maker teddybeer lekt miljoenen opnames kinderen

Maker teddybeer lekt miljoenen opnames kinderen

28-02-2017 12:26 Laatste update: 26-04-2018 23:22

Speelgoedfabrikant Spiral Toys heeft 2,2 miljoen geluidsopnames gelekt waarin kinderen te horen zijn die met hun teddybeer praten.

Dat schrijft beveiligingsonderzoeker Troy Hunt op zijn website. Hij kwam een onbeveiligde database op het spoor met meer dan 800.000 Spiral Toys​-accounts, en via dit platform kreeg hij ook toegang tot de geluidsopnames.

Spiral Toys maakt slimme teddyberen, genaamd CloudPets, waarmee kinderen spelen. Ouders kunnen via een app de knuffel bedienen en zelf boodschappen inspreken die kinderen via de teddybeer horen. Als de kinderen terug praten, wordt deze opname weer naar de ouders gestuurd.

2 miljoen opnames

In totaal zijn er 2,2 miljoen geluidsopnames gelekt, die Hunt ontdekte via een onbeveiligde MongoDB-database. Dit type database komt vaker in het nieuws omdat ze verouderd of slecht beveiligd zijn. In het geval van CloudPets was er niet eens een beveiliging actief: er was zelfs geen wachtwoord ingesteld.

De gelekte accounts bestaan naast e-mailadressen en versleutelde wachtwoorden ook uit geboortedata, profielfoto's en woonadressen. Er zitten waarschijnlijk weinig Nederlandse gegevens of opnames tussen: de CloudPets worden niet officieel in Nederland verkocht.

De Nederlandse beveiligingsonderzoeker Victor Gevers kwam de onbeveiligde database in december van vorig jaar al tegen. Hij kreeg geen contact met Spiral Toys​ om het lek te melden. Het is aannemelijk dat kwaadwillenden in die tijd ook toegang hebben gekregen tot deze gegevens. Cybercriminelen scannen actief naar slecht beveiligde MongoDB-databases om ze vervolgens op slot te gooien en losgeld te eisen of de data te stelen. Spiral Toys is om een reactie gevraagd, maar heeft nog niet gereageerd.

Vaker is slim speelgoed lek

Hunt meldt vaker beveiligingslekken. Hij doet dat ook via zijn website HaveIBeenPwnd, waar je je e-mailadres kunt invullen om te kijken of je gegevens in een datalek voorkomen. 

Het is niet de eerste keer dat slim speelgoed data van kinderen lekt. Zo is in 2015 de speelgoedfabrikant Vtech gehackt, waarmee de gegevens van meer dan 100.000 Nederlandse kinderen werden buitgemaakt. De 'slimme' praatpop My Friend Cayla werd uit de schappen gehaald vanwege zorgen om de privacy, en de Hello Barbie-pop kan worden gehackt om kinderen af te luisteren.