Tell Me Your secret
© Odilo Girod

Pas op voor de afluisterpop

Ze ogen schattig en slim‚ een toonbeeld van technisch vernuft. Maar pratende teddyberen en slimme barbies geven voor je het weet al je persoonlijke gegevens weg. Cybersecurity-expert Mary-Jo de Leeuw wijst op de gevaren – en op wat we eraan kunnen doen.

De Pupbo is een ‘levensechte robotpuppy’ voor kinderen vanaf 5 jaar. Stop de smartbone in z’n bek en hij kan je stem herkennen. Je kunt ’m ook bevelen geven. In de Intertoys aan de Coolsingel in Rotterdam staat Mary-Jo de Leeuw (42) langdurig argwanend naar het hondje te turen‚ waarna ze de doos van alle kanten nieuwsgierig bekijkt. ‘Hmm’‚ klinkt haar eindoordeel‚ ‘deze is toch eigenlijk best wel cool.’

Als geen ander beseft De Leeuw de aantrekkingskracht van Pupbo en andere slimme speeltjes. Ze was nog niet eens een tiener toen ze gefascineerd raakte door de spelcomputers Atari en de Commodore 64‚ die ze ging nabouwen en manipuleren. Tegenwoordig werkt het modernste speelgoed via een app‚ verbonden met het internet. De teddyberen van Fisher-Price kunnen de naam van hun jeugdige bezitter verwerken in een verjaardagsliedje. De slimste Barbie beschikt over vierduizend zinnetjes en kan een heus gesprek voeren. Als je het inter-actieve huisdiertje Ubooly – veel‚ veel intelligenter dan de Tamagotchi’s van een generatie geleden – openritst en er je smartphone in legt‚ kun je samen spelen en kan het je verhaaltjes voorlezen. Dergelijke connected toys‚ waar je ook smart watches en drones onder kunt scharen‚ vormen samen een markt van tientallen miljoenen euro’s.

Toegang tot foto’s

Wel kleven er flinke bezwaren en gevaren aan‚ betoogt cybersecurity-expert De Leeuw‚ die in haar werk overheden en bedrijven adviseert op het gebied van ICT‚ maar niets liever doet dan nieuw speelgoed uittesten. Alle ingevoerde gegevens worden via het internet ergens opgeslagen. De app verschaft immers toegang tot alle contactgegevens in je mobieltje of tablet. Data kunnen worden doorverkocht aan andere partijen. Het kan gaan om naam‚ adres en locatie‚ maar ook om wachtwoorden‚ foto’s‚ filmpjes‚ audiobestanden en chatgesprekken. Dat is ‘vrij zorgelijk’‚ zegt De Leeuw bij een kop koffie‚ ‘want die informatie kan dus zomaar op straat komen te liggen’. Met het door haar opgezette platform Internet of Toys werkt ze met beleidsmakers‚ fabrikanten en ethische hackers aan betere regelgeving over de privacy rondom deze connected toys.

Profielfoto’s van kinderen kunnen opduiken in netwerken van pedofielen

Al diverse malen is gebleken hoe wenselijk dat is. Zo waren er al grootschalige hacks bij Hello Kitty‚ Fisher-Price en het educatieve speelgoed van de Chinese elektronicagigant VTech. Van miljoenen gebruikers wereldwijd‚ ook Nederlandse‚ kwam een vracht aan gegevens beschikbaar over gebruikersnamen‚ wachtwoorden en adresgegevens‚ inclusief toegang tot foto’s en filmpjes.

‘Profielfoto’s van kinderen zie je later ondergronds terugkomen’‚ vertelt De Leeuw‚ ‘bijvoorbeeld in netwerken van pedofielen‚ waar ze worden aangeboden als lokkertje. Maar je wilt als ouder toch niet dat de foto’s van je kinderen op dit soort plekken opduiken? Het is een flinterdunne lijn van een leuk speelgoedje naar de kwaadwilligheid van anderen.’

Betrouwbaar ogende vinkjes

Toch blijft ophef uit. Ouders en kinderen zijn zich volgens De Leeuw te weinig bewust van de risico’s. Bovendien – en dat stoort haar nog het meest – is er geen ‘loket’ waar je je kunt melden met vragen en klachten rondom connected toys. Ze probeerde het eens en werd vervolgens naar eigen zeggen ‘van het kastje naar de muur’ gestuurd. De Consumentenbond zou haar pleidooi hebben afgewimpeld. Ambtenaren van diverse ministeries en toezichthouders wijzen naar elkaar. Speelgoedfabrikanten voelen zich niet verantwoordelijk‚ omdat zij de software uitbesteden. De softwareontwikkelaars voelen druk om tegen zo laag mogelijke kosten te produceren‚ waardoor ze iedere stap om een app veiliger te maken maar achterwege laten.

In Duitsland is afluisterpop Cayla inmiddels aangemerkt als illegaal spionageapparaat

Op deze manier schiet het niet op‚ meent De Leeuw. ‘Pas als er een verantwoordelijke is die eigenaar van het probleem is‚ kun je werken aan standaarden‚ keurmerken en goede voorlichting.’ In sommige landen is bijvoorbeeld de Consumentenbond de verantwoordelijke instantie. Weer elders is het een overheidsinstelling die optreedt als
toezichthouder. Dat is te verkiezen‚ meent De Leeuw‚ want ‘die heeft meer mandaat om een industrie te beïnvloeden’.

Niet kies

In de speelgoedzaak valt op dat de etikettering tot verwarring leidt. Er zijn wel allerlei betrouwbaar ogende vinkjes bij teksten als ‘Getest op veiligheid’‚ maar uit niets blijkt dat de testen komen van onafhankelijke instanties of wat die veiligheid dan precies behelst. Zelf ambieert De Leeuw niet de rol van klachtenloket of toezichthouder; ze benadrukt dat ze zich bezighoudt met speelgoed buiten haar werk om en er nog nooit een cent aan heeft verdiend: ‘Dat zou ik niet kies vinden.’

Zo leurde De Leeuw op diverse plekken met haar rapport over My Friend Cayla‚ de pop met ingebouwde spraakherkenningstechnologie waardoor ze een gesprek kan voeren. De Leeuw had aangevoerd dat de pop makkelijk te hacken was en dat ze kan worden gebruikt om af te luisteren. Sterker‚ ze had Cayla zélf gehackt en zodanig geprogrammeerd dat deze een Arabische doodswens uitsprak. Ze klopte aan bij de Consumentenbond‚ de Nederlandse Voedsel- en Warenautoriteit‚ de speelgoedfabrikant‚ de branchevereniging‚ de ministeries van Economische Zaken en van Justitie‚ maar niemand kon er echt iets mee. Pas twee jaar later‚ na een internationaal opgepakt onderzoek van de Noorse Consumentenbond met dezelfde conclusie‚ haalden Intertoys en Bart Smit de ‘afluisterpop’ uit de winkels. In Duitsland is Cayla inmiddels aangemerkt als illegaal spionageapparaat.

Cyberbullying

In Nederland zijn we nog steeds niet alert. Wanneer de urgentie zal worden gevoeld? ‘Als de eerste dode valt’‚ antwoordt De Leeuw. ‘Zelfmoord door chantage of afpersing‚ bijvoorbeeld. Onthoud dat dit maar een stapje verwijderd is van cyberbullying‚ online pesten‚ en dat heeft ook in Nederland al geleid tot dodelijke slachtoffers.’

Om dat te voorkomen‚ raadt De Leeuw ouders en kinderen aan om niet de daadwerkelijke naam- en adresgegevens in te vullen. ‘Mijn kinderen maken er een lolletje van. “Vandaag wonen we in Islamabad”‚ zeggen ze dan.’ Het kan ook geen kwaad om de algemene voorwaarden eens te lezen. En verzin een wachtwoord dat afwijkt van de andere die je gebruikt‚ zodat niemand met dat ene wachtwoord ook je e-mail of sociale media kan inzien. ‘Mensen beseffen niet dat dit speelgoed helemaal niet zo onschuldig is. Niemand weet goed wat je in huis haalt. Daarom moeten we duidelijk blijven maken wat de risico’s en problemen zijn.’

Speciale armband

In de Rotterdamse Intertoys – om de hoek van het adviesbureau waarvan ze mede-eigenaar is – heeft De Leeuw inmiddels een elektronisch dagboek in handen‚ dat ze van alle kanten bekijkt. Je kunt het ontgrendelen met een speciale armband‚ er zit een pen bij met onzichtbare inkt die je met een speciaal lampje weer zichtbaar maakt‚ én: je kunt er je smartphone in leggen‚ zodat het dagboek automatisch verbinding maakt met al je gegevens. Dan begint De Leeuw te lachen en leest de verpakking voor: ‘Kijk nou‚ “Ik verberg allerlei geheimen!” staat er. O‚ o‚ wat een ironie!’

Twee minuten later staat ze ermee bij de kassa. ‘Nee hoor‚ het is geen cadeautje’‚ zegt ze. ‘Ik ga er eerst eens lekker zelf mee spelen.’

Tekst: Marco Visscher
Wordt Vervolgd, december 2017

Elke maand verhalen lezen over mensenrechten?

Word Amnesty-lid voor 2,50 per maand en ontvang Wordt Vervolgd

Neem een abonnement of bestel een gratis proefnummer