Hack bij Vtech, wat is er aan de hand? Vijf vragen en antwoorden

Een smartwatch van Vtech / YouTube
Geschreven door
Nando Kasteleijn
Techredacteur

Gegevens van 124.730 Nederlandse kinderen (naam, geslacht en leeftijd) zijn gestolen bij de hack van het Chinese speelgoed- en gadgetbedrijf Vtech. Wat is daar aan de hand? Vijf vragen over de hack.

Wat is er gebeurd?

Op 14 november is Vtech, een Chinees bedrijf met het hoofdkantoor in Hongkong, gehackt. Hierbij zijn gegevens van zo'n 4,9 miljoen ouders en nog eens 6,4 miljoen kinderen gestolen, vooral in de VS.

In Nederland zijn van ruim 120.000 kinderen en 100.000 ouders gegevens gestolen. Bij de ouders gaat het om meer informatie, zoals IP-adressen en het woonadres. Vtech benadrukt dat er geen creditcardgegevens zijn gestolen.

Hoe kon dit gebeuren?

Door slechte beveiliging van Vtech. Dat zeggen experts tegen de Amerikaanse techsite Motherboard. Deze site zegt dat ze contact hadden met de hacker die de aanval pleegde. De hacker heeft bewijzen met Motherboard gedeeld die dit zouden onderschrijven. De hacker zou via een zogenoemde sql-injectie, waarbij de databases van Vtech worden gemanipuleerd om gevoelige data af te geven, de aanval hebben uitgevoerd.

Vtech zegt dat maatregelen getroffen zijn om nieuwe aanvallen te voorkomen. Op hun website geeft het bedrijf antwoord op meest gestelde vragen.

Kan het zijn dat er nog meer is gestolen?

Waar Vtech nog duidelijkheid over moet geven, is de vraag of er ook foto's, chat- en audioberichten zijn gestolen. Dat is wel het geval, aldus de hacker. Die zegt dat er voor 190 GB aan foto's op de servers stonden. Het zou mogelijk gaan om tienduizenden foto's van ouders en kinderen. Ook vond hij chat- en audioberichten. Dit alles zou afkomstig zijn van Kid Connect, een dienst waarmee ouders en kinderen onderling kunnen communiceren. Vtech onderzoekt dit.

Wat zijn de gevolgen voor mij?

Dat is lastig te zeggen. De hacker heeft tegen Motherboard gezegd dat hij de gegevens niet zal verkopen. Maar het is nooit helemaal uit te sluiten dat andere hackers ook misbruik hebben gemaakt van de zwakke beveiliging, omdat Vtech pas van het lek wist nadat Motherboard ze erop wees.

Wat kan ik zelf doen?

Op de website haveibeenpowned.com kun je checken of jouw e-mailadres ook gestolen is. Daarnaast is het aan te raden om, als je het Vtech-wachtwoord ook op andere plekken hebt gebruikt, wachtwoorden aan te passen. Sowieso geldt altijd het advies om met unieke wachtwoorden te werken.

Daarnaast lijkt het er sterk op dat alleen deze hacker en Motherboard toegang hebben gekregen tot de gegevens. Als dat inderdaad zo is, blijft de schade beperkt.

Bart Smit en Intertoys hebben laten weten de Vtech-producten te blijven verkopen.