Geschatte leestijd: 7 minuten

Speelgoed beschikt steeds vaker over een bluetoothverbinding. Of zelfs een rechtstreekse koppeling met het internet. Experts spreken al van een ‘Internet of Toys’. Het levert niet alleen spannend vermaak, maar zorgt ook voor nieuwe risico’s.

Wat is het Internet of Toys?

Fabrikanten zoeken al eeuwen naar manieren om hun speelgoed leuker en interactiever te maken. Technologie maakt tegenwoordig daarin veel mogelijk. Speelgoed is steeds vaker voorzien van bluetooth of zelfs een internetverbinding.

Zo ontstaan allerlei interactieve mogelijkheden. Denk aan een pop die tot op zekere hoogte een gesprekje kan voeren met je kind. Of een heuse robot die je via een internet- of bluetoothverbinding kunt besturen via een app. We noemen dat internet van speelgoed het ‘Internet of Toys’, een afgeleide van ‘Internet of Things’ wat verwijst naar de internet verbonden apparaten.

Vtech met Kid Connect in verlegenheid

Het Internet of Toys zorgt ook voor nieuwe risico’s. Al in 2015 zagen we de gevolgen van modern speelgoed voor onze privacy en die van onze kinderen. Speelgoedmaker Vtech moest lijdzaam toezien hoe de gegevens van meer dan 11 miljoen klanten en kinderen op straat terechtkwamen. Waaronder ook zo’n 125.000 Nederlandse gebruikers. Het ging om de app Kid Connect waarmee ouders met hun kinderen konden kletsen via een speciale tablet. Het incident bracht Vtech ernstig in verlegenheid.

Hello Barbie

In datzelfde jaar kwam Hello Barbie op de markt, een speciale uitvoering van Barbie die was uitgerust met een microfoon. Dankzij ingebouwde spraakherkenning en kunstmatige intelligentie was een eenvoudig gesprekje met haar mogelijk. Die intelligentie kwam wel via het internet de huiskamer binnen.

Hello Barbie

Hello Barbie had bovendien een soort geheugen: de pop onthield persoonlijke informatie die tijdens de gesprekken naar voren kwam. Zoals het aantal broertjes of zusjes, en hoelang de vorige speelsessie geleden was. Dat alles om steeds meer ‘gespreksstof’ te creëren.

Experts hadden al snel door dat je met een simpele hack van de wifiverbinding volledige toegang tot de pop kreeg. Hackers konden zo opgeslagen gesprekjes luisteren, kregen toegang tot accountinformatie met persoonlijke gegevens en konden zelfs meeluisteren via de microfoon.

Loslippige Cayla

Hello Barbie was niet de enige pratende pop met een lek. Zo ontstond begin 2017 de nodige ophef over de pop Cayla. De pop kan tot op zekere hoogte een gesprekje voeren met je kind. Het geheim is een ingebouwde microfoon en een bluetoothverbinding met de smartphone. Alles wat de pop ‘hoort’ wordt op die manier doorgestuurd naar een spraakherkenningsbedrijf.

Speeltje voor spionnen

Cayla en Hello Barbie hebben een ding gemeen: ze hebben beide een microfoon in combinatie met een internetverbinding. Een linke combinatie: alle speelgoed met die mix van voorzieningen is ook een potentieel afluisterapparaat.

Volgens verschillende inlichtingendiensten kan iedereen in de buurt van de knuffel met een smartphone de gesprekken afluisteren en de pop laten praten. Dat maakt Cayla ook een leuk speeltje voor spionnen, hackers of simpelweg gestoorden. Bart Smit en Intertoys haalden de pop vervolgens uit de schappen. Ouders die de pop thuis hadden, werden opgeroepen om deze te vernietigen.

Er zijn nog meer voorbeelden van lek speelgoed. Zo bleek een Star Wars-speelgoedrobot, de BB-8 droid, onveilig. Kinderen kunnen de robot met stemcommando’s opdrachten geven. Voor de besturing kun je ook gebruikmaken van een speciale app. Het robotje ontwikkelt bovendien een soort eigen ‘karakter’. Allemaal leuk en aardig, maar ook hier bleek de microfoon via de draadloze verbinding te onderscheppen.

Geen incidenten

Bovenstaande voorbeelden zijn geen toevallige incidenten. Fabrikanten maken zich lang niet altijd druk om een goede beveiliging. Verkoopcijfers, lage productiekosten en een grote haast om de nieuwste gadgets op de markt te zetten lijken belangrijker. Een hack van het speelgoed zelf of een online gebruiksaccount is dan kinderspel voor een beetje hacker.

Risico’s Internet of Toys

Onveilig connected speelgoed zorgt onder andere voor de volgende risico’s:

  1. Misbruik als afluisterapparatuur

    Hackers kunnen speelgoed met een microfoon en een draadloze verbinding ‘kapen’ en zo al het omgevingsgeluid opvangen.

  2. Lekken van persoonsgegevens

    Sommig speelgoed vereist online registratie of een gebruiksaccount. Zo’n account bevat vaak persoonlijke gegevens, zoals naam, leeftijd en adres van jou of je kind. Kwaadwillenden kunnen inbreken bij de fabrikant en deze data publiekelijk maken, doorverkopen, of zelfs misbruiken voor identiteitsdiefstal.

  3. Onderscheppen van locatiegegevens of andere privacygevoelige data

    Digitaal speelgoed bevat vaak allerlei sensoren die van alles meten. De huidige locatie bijvoorbeeld. Weet een hacker de locatiegegevens te onderscheppen, dan weet hij of zij dus ook waar jouw kind woont, naar school gaat of zelfs waar het op dat moment is. Geen fijne gedachte als je beseft dat ook pedofielen digitaal steeds vaardiger worden.

Geen controle of keurmerk

Dat legt een grote verantwoordelijkheid bij de makers van al dat moois. Maatregelen moeten wel helemaal uit de eigen koker komen, want veel controle of dwang van bovenaf is er niet. Er is geen onafhankelijke controle op de digitale veiligheid van kinderspeelgoed. Objectieve keurmerken hiervoor bestaan niet.

Er is enige hoop gevestigd op de nieuwe Europese privacywetgeving. Deze wordt in mei 2018 van kracht. De nieuwe privacywet stelt dat producten en diensten, dus ook speelgoed, ontworpen moeten zijn met privacy en digitale veiligheid in het achterhoofd. Het is de vraag in hoeverre de speelgoedfabrikanten wereldwijd deze regels serieus gaan nemen.

Checklist voor connected speelgoed

Checklist veilig speelgoedVoorlopig valt of staat dus alles met oplettende ouders en opvoeders. Neem daarom onderstaande checklist ter harte voordat je speelgoed aanschaft voor je kind.

  1. Heeft het speelgoed een draadloze verbinding?

    Een eerste check is of het speelgoed überhaupt verbinding kan maken met de buitenwereld. Sommig speelgoed beschikt over een draadloze wifiverbinding, en is dus rechtstreeks verbonden met het internet. Weer ander speelgoed kan enkel via bluetooth ‘praten’ met bijvoorbeeld een smartphone. Dat lijkt onschuldiger, maar hackers weten ook daar wel raad mee.

  2. Welke risico’s levert die verbinding op?

    Niet al het speelgoed staat permanent in contact met de buitenwereld. Soms is alleen een eenmalige onlineregistratie nodig. Maar in extreme gevallen wordt bijvoorbeeld al het opgenomen geluid of de locatie van het speelgoed naar de fabrikant gestuurd. Dat is op zich al niet wenselijk, laat staan wanneer een hacker tussen die verbinding gaat zitten.

  3. Wat gebeurt er met die gegevens?

    Minstens zo belangrijk is wat er met die data gebeurt. Worden gegevens op het speelgoed zelf opgeslagen, of komen ze in een persoonlijk online account te staan? Zijn de data versleuteld? Kun je ze verwijderen door contact op te nemen met de fabrikant? Deelt de fabrikant de data met een derde partij, bijvoorbeeld voor advertentiedoeleinden? Het databeleid zou in de privacyverklaring moeten staan.

  4. Verdiep je in de fabrikant

    Niet alle fabrikanten nemen het even nauw met de privacy. Controleer daarom de reputatie van de makers voor je tot aanschaf overgaat. Een simpele Google-zoekopdracht kan al veel naar boven brengen. Is de fabrikant bijvoorbeeld ooit eens in opspraak geraakt door een veiligheidslek of privacyschandaal? En hoe ging het bedrijf daar toen mee om?

    Ook contactmogelijkheden zijn belangrijk. Een fabrikant die openstaat voor vragen, opmerkingen en kritiek wekt vertrouwen. Hoe dan ook is het waardevol als je eenvoudig contact kunt opnemen met de fabrikant. Controleer welke mogelijkheden daarvoor zijn. Moet je enorm zoeken naar iets simpels als een telefoonnummer of adres, dan kun je het speelgoed beter links laten liggen.

  5. Krijgt het speelgoed updates?

    Een goede fabrikant voorziet het speelgoed regelmatig van nieuwe software. Zo blijft het speelgoed veilig. Het is dan ook raadzaam te controleren hoelang de fabrikant voornemens is dit te doen. Connected speelgoed dat geen updates meer krijgt, is onveilig. Hackers kunnen dan vrijelijk misbruik blijven maken van lekken en fouten in de software.

  6. Verdiep je in de werking van het speelgoed

    Niet al het speelgoed is even onschuldig als het lijkt. Denk aan speelgoed dat gedrag van je kinderen corrigeert. Met name poppen kunnen een ongewenste ‘opvoedkundige’ rol aannemen. Daar zit je als ouder misschien niet op te wachten.

  7. Controleer op verborgen kosten

    Soms zit aan speelgoed een betaalde abonnementsdienst gekoppeld. Sla de verpakking, maar ook (gebruikers)recensies hierop na. Wees ook alert op microtransacties in games voor bijvoorbeeld smartphones en tablets. Vaak is het voor kinderen heel eenvoudig om in zo’n app extra aankopen te doen zonder toestemming van hun ouders.

Checklist: veiliger spelen

Veiliger digitaal spelenEen kritische houding bij aankoop is een goede eerste stap. Maar ook na aanschaf kun je het nodige doen om de privacy van je kind te beschermen. Deze 4 stappen verkleinen het risico op een privacylek:

  1. Verander standaard inloggegevens

    Connected apparaten, ook speelgoed, komen vaak met een standaardinlog. Denk aan de gebruikersnaam ‘admin’ en het weinig fantasievolle wachtwoord ‘password’. Verander deze altijd direct, want anders maak je het hackers wel heel gemakkelijk.

  2. Geef verzonnen persoonsgegevens op

    Veel connected speelgoed vereist een onlineaccount. Soms vraagt de fabrikant naar persoonsgegevens als naam en leeftijd van jou of je kind. Het kan absoluut geen kwaad om deze gegevens te verzinnen.

  3. Gebruik alleen een veilige internetverbinding

    Gebruik connected speelgoed alleen via een met een sterk wachtwoord beveiligde wifiverbinding. Het liefst alleen thuis, waar je hier controle over hebt. Laat je kinderen in elk geval niet spelen met het speelgoed via een open hotspot.

  4. Klaar met spelen? Schakel het speelgoed helemaal uit

    Wanneer je kind het speelgoed niet gebruikt, doe je er goed aan het helemaal uit te schakelen. Zo weet je zeker dat het niet ongemerkt toch gegevens verzamelt en doorstuurt. Ook hackers kunnen weinig met speelgoed dat niet is ingeschakeld.

Meer lezen over het Internet of Toys?

Op Techtonia publiceren we regelmatig over het Internet of Toys en connected speelgoed. In deze artikelen lees je meer over dit onderwerp:

Internet of Theft: deze spionnen luisteren met je mee

Internet of Things: Cool, maar levensgevaarlijk

Koop vooral geen gps-horloge voor je kind

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *