FYI.

This story is over 5 years old.

Tech

De persoon die VTech heeft gehackt legt uit waarom hij dat deed

Motherboard sprak exclusief met de hacker die de slechte beveiliging van VTech onthulde.

UPDATE: Volgens Tweakers is op dinsdag 15 december een man door de Britse politie opgepakt die wordt verdacht van het hacken van VTech.

Op dit moment krijgt VTech, een speelgoedfabrikant uit Hong Kong, het flink te verduren omdat het bedrijf de persoonsgegevens van miljoenen kinderen en hun ouders slecht heeft beveiligd. Motherboard bracht vorige week de slechte beveiliging aan het licht, waarna een mediastorm ontstond. Ondanks al die media-aandacht blijft één belangrijke vraag onbeantwoord: wie zit er achter deze hack en waarom heeft hij het gedaan?

Advertentie

Begin vorige maand ben ik benaderd door een hacker die anoniem wil blijven. Hij vertelde me dat hij interessante data had gevonden op een server van een bedrijf dat elektronica voor kinderen maakt. Volgens de hacker toonde de data aan dat het bedrijf schuldig was aan het gebruiken van "belabberde beveiliging."

Later liet de hacker mij wat van zijn data zien en onthulde hij dat het bedrijf in kwestie VTech was. Ik heb vervolgens de gegevens gedeeld met een expert op het gebied van databeveiliging, zodat hij kon achterhalen wat de exacte risico's voor de klanten van VTech waren.

"Toen ik dat zag, had ik door dat dit een serieuze zaak was"

Vanaf het begin heeft de hacker mij erg duidelijk gezegd dat hij niet van plan was de gehackte gegevens te publiceren of the verkopen. Toch wilde de hacker, ondanks zijn goede bedoelingen, toch altijd anoniem blijven

Nu vertelt de hacker zijn verhaal exclusief aan Motherboard. En wij vroegen hem waarom hij uiteindelijk besloot om de slechte beveiliging van VTech aan het licht te brengen.

Het begon allemaal "ongeveer twee maanden geleden," toen de hacker toevallig op een forum las dat anderen bezig waren om de Innotab van VTech te hacken. Hij zegt dat er op het forum een actieve groep mensen bezig was met het kraken van de Innotab, "voornamelijk voor de lol." Een van de mensen op het forum was er bijvoorbeeld in geslaagd om de klassieke game Doom op de tablet te zetten.

Advertentie

Op het forum werd ook de online dienst van VTech besproken.

Dat maakte de hacker nieuwsgierig. In de weken daarna begon hij "rond te neuzen" in de online diensten van VTech en dat bracht hem bij planetvtech.com, een van de vele websites van het bedrijf. De hacker vond het opmerkelijk dat de website Flash gebruikte en met een loginkadertje werkte. Vrij snel kwam hij erachter dat de website te hacken was met een oude, maar effectieve hackmethode: de SQL-injectie.

Binnen korte tijd had de hacker volledige controle over de server. Toen realiseerde hij zich dat hij met de gegevens kon doen wat hij wilde.

Hij kan zich herinneren dat hij dacht: "Holy fuck, ik ben nu admin. Dat was makkelijk. Wat kan ik hier allemaal zien?"

Toen ging hij naar andere servers van VTech kijken, waarop hij nog meer data wist de bemachtigen. Op een bepaald moment vond hij twee databases waarin de persoonsgegevens van miljoenen kinderen en hun ouders stonden.

"Toen ik dat zag, had ik door dat dit een serieuze zaak was," vertelt hij in een versleuteld chatgesprek.

Dat was het moment waarop hij contact met me opnam. Hij besloot direct naar een journalist te stappen, omdat hij dacht dat VTech "nooit zou gaan luisteren," of het beveiligingslek geheim zou willen houden. En gezien de slechte beveiliging van de servers van VTech was hij bang dat anderen ook bij de gegevens zouden kunnen. Als dat al niet gebeurd was.

"Al het bewijs wijst erop dat ik niet de enige ben die bij de data zou kunnen," zegt hij.

Advertentie

"Ik wil alleen dat mensen hiervan op de hoogte zijn en dat er iets aan wordt gedaan."

Hoe dan ook wilde de hacker de data nooit gaan publiceren of verkopen. Hij vind dat "immoreel."

Hij zegt dat hij "hier nooit van heeft willen profiteren. Zeker niet als het om kinderen gaat! Ik wil alleen dat mensen hiervan op de hoogte zijn en dat er iets aan wordt gedaan."

Nadat Motherboard VTech confronteerde met de slechte beveiliging, heeft het bedrijf afgelopen vrijdag in een verklaring toegegeven dat ze gehackt waren. Het nieuws van het beveiligingslek ging snel de hele wereld over: CNN, BBC en de NOS berichtten erover. De hacker zegt dat hij blij is met de aandacht en dat hij denkt dat hij erin geslaagd is om de slechte beveiliging van VTech aan het licht te brengen.

Toch is de hacker "ervan overtuigd dat er nog duizenden beveiligingsproblemen te vinden zijn." Hij denkt erover na om die te gaan zoeken, zodra VTech weer online gaat. "Of misschien een van de concurrenten van VTech; ik weet het niet."