Menu Zoeken Mijn RTL Nieuws

30 mei 2018 17:00

Duizenden Nederlandse kinderen stiekem te volgen via onveilige smartwatch

Door een lek in populaire smartwatches was het jarenlang mogelijk om duizenden Nederlandse kinderen live te volgen. Ouders kopen zo'n slim horloge om hun kind in de gaten houden, maar hackers konden gemakkelijk meegluren.

De kwetsbaarheid zit in de Nederlandse smartwatches HellOO en Belio, die bij grote webshops worden verkocht. Deze slimme horloges sloegen de gegevens van het kind niet veilig op, waardoor het mogelijk was om van alle kinderen hun locatiegegevens tot één jaar terug en het telefoonnummer van de ouder op te vragen.

"Het verbaasde me hoe snel ik toegang kreeg tot deze gegevens", vertelt Wesley Neelen, ethisch hacker bij cybersecuritybedrijf DearBytes. Hij onderzocht op verzoek van RTL Nieuws verschillende smartwatches en binnen vier uur was het al raak. De kwetsbaarheid is na melding van Neelen verholpen, en RTL Nieuws heeft gewacht met de publicatie tot het lek was gedicht. Het is onduidelijk of er ook misbruik is gemaakt van het lek.

Live volgen

Door de locatiegegevens op te vragen kon je op de minuut nauwkeurig zien waar een kind was geweest. Op deze manier was te zien waar kinderen wonen, op welke basisschool ze zitten en waar ze spelen. Ook hun routes waren live op een kaart te volgen. "Ouders zullen het geen prettig idee vinden dat anderen mee konden kijken waar hun kind was", zegt Neelen. 

Dit horloge weet waar jouw kind is:

De locatiegegevens waren op te vragen door het serienummer van de smartwatch in te voeren. Neelen bekeek een YouTube-video van HellOO, noteerde het serienummer en kreeg direct locatiegegevens en een 06-nummer te zien.

Door een paar cijfers in het serienummer aan te passen kon je de gegevens van een andere smartwatch-gebruiker inzien. Om ethische redenen heeft Neelen zelf een HellOO gekocht om de locatiegegevens op te vragen, zodat de privacy van de kinderen gewaarborgd bleeft.

Smartwatch voor je kind kopen? Hier moet je op letten:

Het is voor consumenten nauwelijks te controleren of een smartwatch veilig is. Daarom zegt Neelen dat mensen zich twee dingen af moeten vragen:

  1. Welke gegevens verzamelt de smartwatch? Dat kun je vaak zien aan de functionaliteiten: als je locatiegegevens kunt opvragen worden deze data verzameld.
  2. Wat is het gevolg als deze informatie uitlekt?

Weeg de voor- en nadelen tegen elkaar af, en besluit dan of je een dergelijk product in huis wilt halen.

Honderdduizenden wereldwijd

Niet alleen in Nederland kwam de kwetsbaarheid voor: HellOO en Belio verkopen onder hun eigen naam een Chinese smartwatch die in tientallen andere landen op eenzelfde manier wordt verkocht. Het gaat wereldwijd naar schatting om honderdduizenden slimme horloges die jarenlang lek waren. 

Maurice Andersen, één van de oprichters van HellOO, vindt het 'enorm vervelend' dat er een lek in zijn smartwatch zat, maar heeft na melding direct actie ondernomen en Neelen gekoppeld aan de Chinese fabrikant. Uiteindelijk werd de kwetsbaarheid binnen een week verholpen. Andersen zegt blij te zijn met de bevindingen van Neelen, en werkt aan verschillende nieuwe producten 'waar privacy en veiligheid op nummer één staan'.

De smartwatches hebben ook nog een microfoon waarmee het kind naar de ouder kan bellen. Het is Neelen niet gelukt om, via zijn eigen HellOO-horloge, zo'n gesprek af te luisteren. "Daar zijn we blij mee", aldus Andersen

Consumentenbond

De Consumentenbond wil dat er regels komen voor de veiligheid van smart gadgets zodat consumenten beter worden beschermd. "Je kunt het vergelijken met auto's van vroeger die werden geleverd zonder gordels", vertelt woordvoerder Gerard Spierenburg. "Er moesten eerst ongelukken gebeuren voordat gordels werden verplicht. Soortgelijke regels moeten nu ook voor connected toys komen."

Daar is Mary-Jo de Leew, cybersecurityexpert en oprichter van het platform Internet of Toys, het mee eens: "Deze apparaten moeten veel beter worden gecontroleerd voordat ze op de markt komen. Fabrikanten willen leuk, goedkoop speelgoed maken en de rest, zoals de veiligheid, is maar bijzaak."

LEES OOK: Van afluisterende barbie tot kinderhorloge: kijk uit voor 'slim speelgoed'

Tweede Kamerlid Kees Verhoeven (D66) pleitte eerder voor een verkoopverbod op apparaten die niet aan de minimumveiligheidseisen voldoen, zoals het versleutelen van gegevens en het verplichten van het wijzigen van het standaardwachtwoord. 

Vragen? Stel ze!

Cybersecurityexpert Mary-Jo de Leeuw en verslaggever Sander Paulus beantwoorden vanavond live op onze Facebookpagina al jullie vragen over de risico’s van dit slimme speelgoed. De livestream begint direct na onze uitzending van 19.30 uur. Heb je al een vraag? Stel ‘m alvast via onze Facebookpagina

Meer op rtlnieuws.nl

Topnieuws