1. Wat is er precies gebeurd?

Het Chinese bedrijf VTech is gehackt. Een aanvaller wist de servers van het bedrijf leeg te trekken, waardoor er allerlei klantgegevens op straat kwamen te liggen. VTech is een bedrijf dat kinderspeelgoed maakt met educatieve ondertoon, en dat betekent dat er behoorlijk wat gevoelige informatie is buitgemaakt.
Al die educatieve programma's komen namelijk samen in één online portal, de VTech Learning Lodge. Gebruikers moeten een account maken waar al hun gegevens worden opgeslagen. In sommige gevallen gaat het alleen om een emailadres en wachtwoord, maar voor complexer speelgoed worden ook veel gevoeligere informatie bewaard. Denk bijvoorbeeld aan chat-gesprekken wanneer kinderen met een robot 'praten', of foto's die kinderen maken om als profielafbeelding op te slaan.

2. De hack zelf

Het bleek kinderlijk eenvoudig de gegevens te stelen

Een hacker heeft de gegevens van ruim 11 miljoen gebruikers weten te bemachtigen. Daarvan zijn 6,4 miljoen profielen van kinderen.

Tijdens de hack werd een goudmijn aan erg persoonlijke informatie buitgemaakt. De hacker verzamelde in totaal ruim 190 GB aan data, die uiteenliep van wachtwoorden en emailadressen tot chat-gesprekken en foto's van kinderen en ouders.

Daar zitten ook Nederlanders tussen. Volgens VTech zelf gaat het om 124.730 gegevens van kinderen, en nog eens 100.828 van volwassenen.

Daarmee is de hack op VTech de op drie na grootste consumentenhack aller tijden. Alleen bij de hack op Adobeen vreemdgangerssite Ashley Madison en 000webhost werden meer gegevens achterhaald.

3. Hoe kon zo veel data gehackt worden?

Opvallend is vooral hoe simpel de hack kon worden uitgevoerd. Dat gebeurde via een doodeenvoudige SQL-injectie op één van de invulvelden op de website. Ook intern bleek de beveiliging ondermaats, want de wachtwoorden werden gehasht met het notoir onveilige MD5. Bovendien werden de geheime vragen en antwoorden (voor wachtwoordherstel) in plaintext opgeslagen.

4. Hoe kwam het aan het licht?

De hack kwam 27 november aan het licht via de website Motherboard. De hacker maakte zich daar bekend en leverde bewijs aan bij de site.

Toen Motherboard VTech om een reactie vroeg, zei het bedrijf dat het de eerste keer was dat het over de hack hoorde.

Diezelfde dag plaatste VTech een verklaring op zijn site, maar daarin werd verder niet veel informatie gegeven. Het bedrijf wilde niet zeggen hoeveel gegevens er waren gestolen en welke dat waren, of hoe die beveiligd waren.

5. Wat willen de hackers?

De hacker zegt geen geld of erkenning te willen

Die zeggen niets te willen. Ze hoeven geen geld of erkenning en zeggen de gegevens niet door te verkopen op digitale marktplaatsen. De hacker zegt dat hij alleen wil aantonen hoe makkelijk het was de gegevens te stelen, en om anderen erop te wijzen dat zulke beveiliging wel erg belangrijk is.

Daar moeten we hem echter maar wel op vertrouwen. Tot nu toe lijkt het er niet op dat er al gegevens ergens anders zijn opgedoken, maar als dat gebeurt zou het waarschijnlijk toch nog een tijdje niet bekend zijn.

6. En nu?

De discussie ontstaat nu of kinderspeelgoed wel 'slim' moet zijn

De 'Learning Lodge' is inmiddels offline gehaald, maar de buit is inmiddels al binnen. Het is ook niet bekend of het lek al vóór de hack is uitgebuit.

Uiteraard gelden hier dezelfde regels als voor iedere andere grote hack: Verander je wachtwoord op alle sites waar je hetzelfde wachtwoord gebruikte, en laat je VTech-spullen even links liggen. Je kunt bovendien inmiddels al controleren op HaveIBeenPwn.com of je emailadres is buitgemaakt uit de database.

Inmiddels laait ook de discussie op over hoe slim kinderspeelgoed moet zijn. Kinderen vertellen vaak persoonlijke dingen aan hun speelgoed en weten niet goed hoe ze zichzelf daartegen kunnen beschermen. Ook ouders hebben daar vaak geen weet van. Onlangs laaide die discussie ook al op over een slimme Barbie. Privacyorganisaties pleiten ervoor zulk speelgoed niet meer te verkopen.