Door een lek in smartwatches was het mogelijk om duizenden Nederlandse kinderen live te volgen. Ouders kopen zo'n slim horloge om hun kind in de gaten houden, maar hackers konden meegluren.
De kwetsbaarheid zit in de Nederlandse smartwatches HellOO en Belio, die bij grote webshops worden verkocht. Deze slimme horloges sloegen de gegevens van het kind niet veilig op, waardoor het mogelijk was om van alle kinderen hun locatiegegevens tot één jaar terug en het telefoonnummer van de ouder op te vragen.
"Ik schrok ervan hoe slecht deze gegevens waren beveiligd", vertelt Wesley Neelen, ethisch hacker bij cybersecuritybedrijf DearBytes. Hij onderzocht op verzoek van RTL Nieuws verschillende smartwatches en binnen vier uur was het al raak. De kwetsbaarheid is na melding van Neelen verholpen, en RTL Nieuws heeft gewacht met de publicatie tot het lek was gedicht. Het is onduidelijk of er ook misbruik is gemaakt van het lek.
Live volgen
Door de locatiegegevens op te vragen kon je op de minuut nauwkeurig zien waar een kind was geweest. Op deze manier was te zien waar kinderen wonen, op welke basisschool ze zitten en waar ze spelen. Ook hun routes waren live op een kaart te volgen. "Ouders zullen het geen prettig idee vinden dat anderen mee konden kijken waar hun kind was", zegt Neelen.
De locatiegegevens waren op te vragen door het serienummer van de smartwatch in te voeren. Neelen bekeek een YouTube-video van HellOO, noteerde het serienummer en kreeg direct locatiegegevens en een 06-nummer te zien.
Door een paar cijfers in het serienummer aan te passen kon je de gegevens van een andere smartwatch-gebruiker inzien. Om ethische redenen heeft Neelen zelf een HellOO gekocht om de locatiegegevens op te vragen, zodat de privacy van de kinderen gewaarborgd bleven.
Honderdduizenden wereldwijd
Niet alleen in Nederland kwam de kwetsbaarheid voor: HellOO en Belio verkopen onder hun eigen naam een Chinese smartwatch die in tientallen anderen landen op eenzelfde manier wordt verkocht. Het gaat wereldwijd naar schatting om honderdduizenden slimme horloges die jarenlang lek waren.
Maurice Andersen, één van de oprichters van HellOO, vindt het 'enorm vervelend' dat er een lek in zijn smartwatch is ontdekt, maar heeft na melding direct actie ondernomen en Neelen gekoppeld aan de Chinese fabrikant. Uiteindelijk werd de kwetsbaarheid binnen een week verholpen. Andersen zegt blij te zijn met de bevindingen van Neelen, en werkt aan verschillende nieuwe producten 'waar privacy en veiligheid op nummer één staan'.
De smartwatches hebben ook nog een microfoon waarmee het kind naar de ouder kan bellen. Het is Neelen niet gelukt om, via zijn eigen HellOO-horloge, zo'n gesprek af te luisteren. "Daar zijn we blij mee", aldus Andersen.
Smartwatch voor je kind? Hier moet je op letten:
Het is voor consumenten nauwelijks te controleren of een smartwatch veilig is. Daarom zegt Neelen dat mensen zich twee dingen af moeten vragen:
1. Welke gegevens verzamelt de smartwatch? Dat kun je vaak zien aan de functionaliteiten: als je locatiegegevens kunt opvragen worden deze data verzameld.
2. Wat is het gevolg als deze informatie uitlekt?
Weeg de voor- en nadelen tegen elkaar af, en besluit dan of je een dergelijk product in huis wilt halen.
Regels nodig
De Consumentenbond wil dat er regels komen voor de veiligheid van smart gadgets zodat consumenten beter worden beschermd. "Je kunt het vergelijken met auto's van vroeger die werden geleverd zonder gordels", vertelt woordvoerder Gerard Spierenburg. "Er moesten eerst ongelukken gebeuren voordat gordels werden verplicht. Soortgelijke regels moeten nu ook voor connected toys komen."
Daar is Mary-Jo de Leew, cybersecurityexpert en oprichter van het platform Internet of Toys, het mee eens: "Deze apparaten moeten veel beter worden gecontroleerd voordat ze op de markt komen. Fabrikanten willen leuk, goedkoop speelgoed maken en de rest, zoals de veiligheid, is maar bijzaak."
Tweede Kamerlid Kees Verhoeven (D66) pleitte eerder voor een verkoopverbod op apparaten die niet aan de minimumveiligheidseisen voldoen, zoals het versleutelen van gegevens en het verplichten van het wijzigen van het standaardwachtwoord.