Dat maakt Vtech woensdag bekend. In totaal zijn de gegevens van 6,4 miljoen kinderen wereldwijd gestolen. Vtech maakt kindvriendelijke computers die vaak in speelgoedwinkels worden verkocht.
In ieder geval de naam, het geslacht en de geboortedatum van de kinderen zijn gestolen. Mogelijk zijn er ook foto’s, audiobestanden en chats zijn gelekt.
Vtech zegt dat nog te onderzoeken en kan dat momenteel niet bevestigen. Daarnaast stelt het bedrijf dat de audiobestanden en de foto’s versleuteld worden opgeslagen. Volgens nieuwssite Motherboard, dat contact heeft gehad met de hacker, is die encryptie echter zeer eenvoudig te ontcijferen.
Vtech geeft toe dat de database “niet zo veilig was als hij had moeten zijn” en zegt maatregelen te hebben genomen.
Ouders
Naast de kinderprofielen zijn er 100.828 profielen van Nederlandse ouders gestolen.
In die gevallen zijn de namen, e-mailadressen, geheime vragen om het wachtwoord te herstellen, ip-adressen, postadressen en de downloadgeschiedenis ontvreemd. Ook zijn de wachtwoorden gestolen, hoewel die versleuteld staan opgeslagen.
Andere landen
De meeste gegevens van kinderen werden gestolen in de Verenigde Staten (bijna 3 miljoen), Frankrijk (ruim een miljoen) en het Verenigd Koninkrijk (700 duizend). In België werden de gegevens van 133.179 kinderen gestolen.
De hack bij het bedrijf kwam vorige week al aan het licht. Toen maakte het bedrijf alleen bekend dat de gegevens van 4,9 miljoen volwassenen waren gestolen. Het was echter onduidelijk hoeveel gegevens van kinderen er waren gestolen. Er werd van uitgegaan dat dat aantal een stuk lager zou liggen.
Grote deuk
Als alleen de namen, het geslachten en de geboortedata van de kinderen zijn gestolen is er weinig dat de hackers kunnen doen met die gegevens. Dat stelt Remco Pijpers, expert op het gebied van kinderen en media voor Mijn Kind Online tegenover NU.nl.
“Maar dit is wel een grote deuk in het vertrouwen van ouders”, vervolgt Pijpers. “Wanneer je de gegevens van je kind achterlaat bij een commerciële partij verwacht je dat daar geen gekke dingen mee gebeuren.”
Volgens Pijpers gaat er onder veel fabrikanten van technologie en software voor kinderen te weinig aandacht uit naar veiligheid en privacy. “Het is een moeilijke markt. Er gaat een hoop geld en energie zitten in het in de gunst vallen van de ouders. En er is vaak te weinig aandacht voor de veiligheid.”
CBP
Het College bescherming persoonsgegevens (CBP) sluit zich aan bij Pijpers. “Juist bij deze producten moeten ouders er van uit kunnen gaan dat de fabrikanten hun producten uitermate goed beveiligen. Deze bedrijven hebben ongetwijfeld knappe koppen in huis die dat kunnen.”
De hack is volgens de privacywaakhond bovendien een “schoolvoorbeeld” van hoe het fout kan gaan: ”De beveiliging was niet op orde, er is onduidelijkheid over de versleuteling en de mensen waarover het gaat worden te laat ingelicht.”
Het CBP wijst ook op de meldplicht datalekken, die op 1 januari ingaat. “Vanaf dat moment moeten lekken zoals deze direct verplicht worden gemeld, niet alleen bij ons maar ook bij de slachtoffers.”
Hack
Volgens het bedrijf hadden hackers op 14 november toegang tot hun klantinformatie. Hierbij zijn, in het geval van de volwassenenprofielen, waarschijnlijk namen, e-mailadressen, versleutelde wachtwoorden en geheime vragen en antwoorden gestolen.
De hackers kregen ook toegang tot IP-adressen en de downloadgeschiedenis van gebruikers. Creditcardinformatie zou veilig zijn, omdat er een externe dienst voor betalingen wordt gebruikt.