Selecteer een pagina

Hackers dringen binnen bij provincie Gelderland

Bij een hack van personeelsdossiers van de provincie Gelderland zijn mogelijk gegevens in handen van derden gekomen, meldt de provincie in een persbericht. Het lek is woensdag ontdekt.

Er is aangifte gedaan bij de politie en de Autoriteit Persoonsgegevens (AP) is op de hoogte gebracht.

De provincie huurt een extern ICT-bedrijf in om alle ICT-voorzieningen te onderhouden. Dat bedrijf ontdekte woensdagavond dat er een inbraak had plaatsgevonden bij het actualiseren van personeelsdossiers.

Medewerkers van het ICT-bedrijf hebben daarop het lek inmiddels gedicht, zodat de hackers of cybercriminelen niet langer toegang hadden tot het computernetwerk van de provincie.

Veel details over de aanval ontbreken op dit moment. Zo is het onbekend wie er verantwoordelijk is voor de datadiefstal en hoe de hackers het netwerk hebben weten te infiltreren.

De provincie Gelderland kan op dit moment niet zeggen welke gegevens op straat zijn beland. Wellicht gaat het om persoonlijke gegevens van provinciemedewerkers, zoals namen, adressen, contactgegevens en andere relevante informatie.

Bij de provincie werken zo’n zestienhonderd mensen.

Er wordt nog onderzocht of en welke gegevens in handen van derden zijn gekomen, zegt de provincie. De medewerkers zijn geïnformeerd.

“Vooralsnog heeft de hack geen consequenties voor de veiligheid van andere digitale, provinciale werkzaamheden”, stelt de provincie. Een woordvoerder van de provincie zegt dat het geen aanvullende informatie wil geven over de hack.

Online inbrekers stelen via Wehkamp 144.000 Euro van failliete winkelketen Didi

Internetcriminelen hebben via een inbraak in de mailserver van Wehkamp 144.000 euro omzet van de failliete winkelketen Didi buit gemaakt.

De online inbrekers hadden zich toegang verschaft tot het mailverkeer van beide webshops, meldt curator Marc Le Belle van Didi na berichtgeving van RTL Z.

Na het faillissement van modeketen Didi in januari 2020 bleef Wehkamp de kleding van Didi verkopen. De opbrengsten werden overgeboekt naar de rekening van de failliete boedel, die de curatoren Marc Le Belle en Tineke Wolfswinkel beheren.

Volgens een woordvoerder van Wehkamp hebben cybercriminelen in februari 2020 de communicatie tussen Wehkamp en de curatoren overgenomen.

De internetdieven maakten e-mailadressen aan die erg leken op de e-mailadressen van de twee partijen en wisten zo het mailverkeer over te nemen.

De oplichters gaven vervolgens aan Wehkamp een ander bankrekeningnummer voor de opbrengsten door. De webwinkel verifieerde dat rekeningnummer, maar gebruikte daarbij het frauduleuze e-mailadres van de criminelen.

Vervolgens maakte Wehkamp enkele dagen achtereen geld over op de ING-rekening van de hacker. Het ging om een totaalbedrag van 144.000 euro.

Toen werd ontdekt dat de bankrekening was gewijzigd hadden de daders het geld al doorgesluisd. Slechts een klein deel bleek nog op de inmiddels door de ING geblokkeerde rekening te staan.

Curator houdt Wehkamp verantwoordelijk

De curatoren van Didi willen het bedrag alsnog ontvangen, maar Wehkamp weigert opnieuw geld over te maken. De curatoren hebben daarop Wehkamp gedagvaard, bevestigt Le Belle.

Wehkamp laat in een reactie aan RTL Z weten dat er geen aanwijzingen zijn dat de webwinkel verantwoordelijk is voor de gevolgen van de oplichting.

“Het staat vast dat de fraudeur een e-mail die daadwerkelijk afkomstig was van de curator en het specifieke casusnummer in zijn bezit had en heeft gebruikt voor deze fraude. Wij hebben intern laten onderzoeken of er sprake was van een hack bij Wehkamp en dat bleek niet het geval.”

Wehkamp vindt de curatoren op zijn minst medeverantwoordelijk zijn

Wehkamp vindt de curatoren op zijn minst medeverantwoordelijk voor de schade, omdat ook zij niet doorhadden dat met hackers werd gecommuniceerd. Wehkamp heeft aangifte van de hack gedaan.

Angela Merkel zegt ‘hard bewijs’ te hebben dat Russische cyberspionnen haar mailbox gehackt hebben

De Duitse bondskanselier Angela Merkel heeft in de Bondsdag gezegd “hard bewijs” te hebben dat ze het doelwit van Russische hackers was. Dat meldt Britse krant The Independent.

Merkel zei dat ze zal blijven proberen de banden met Rusland aan te halen, maar dat de hack van haar mailbox door Russische cyberspionnen dat niet makkelijker maakt. “Ik neem dit heel serieus. Het doet me pijn dat dit gebeurt terwijl ik dagelijks probeer de betrekkingen met Rusland te verbeteren.”

Het Duitse weekblad Der Spiegel meldde eerder al dat Russische hackers bij een aanval in 2015 twee e-mailboxen van de Duitse bondskanselier hebben gekopieerd. Vermoed wordt dat de cybercriminelen alle e-mailverkeer van Merkel in de periode 2012 tot en met 2015 hebben bemachtigd.

Uit onderzoek zou blijken dat de aanvallers in mei 2015 toegang hadden tot de IT-systemen van de Bondsdag. Volgens Der Spiegel is in totaal voor 16 GB aan data buitgemaakt, waaronder mogelijk de e-mails van Merkel.

De Duitse justitie heeft inmiddels een arrestatiebevel uitgevaardigd voor de Rus Dmitriy Badin, die verdacht wordt van de hack. Hij zou een agent van de Russische inlichtingendienst GRU zijn.

200 beroemde artiesten slachtoffer van hack bij advocatenkantoor Grubman Shire Meiselas & Sacks

Cybercriminelen hebben de privégegevens van U2, Drake, Barbra Streisand, Madonna, Lady Gaga, Elton John en Robert De Niro in handen. Ze hebben advocatenkantoor Grubman Shire Meiselas & Sacks gehackt en eisen nu losgeld, meldt BBC News.

“We hebben onze cliënten en het personeel inmiddels ingelicht”, zegt een woordvoerder van het Amerikaanse advocatenkantoor. Er zijn inmiddels experts ingeschakeld om de juristen bij te staan.

De hackers zouden ruim 750 gigabyte aan data hebben bemachtigd, waaronder contracten en privémails. Online deelden ze enkele screenshots van het contract voor Madonna’s recentste wereldtournee.

Het kantoor Grubman Shire Meiselas & Sacks vertegenwoordigt meer dan tweehonderd beroemdheden.

De website van Grubman Shire Meiselas & Sacks is momenteel niet bereikbaar.

Thuisbezorgd klanten slachtoffer van hacker die op hun kosten bestellingen plaatst

Een aantal Thuisbezorgd-klanten is slachtoffer geworden van fraude met bestellingen. Een hacker heeft toegang gekregen tot hun accounts en op hun kosten bestellingen geplaatst, meldt Tweakers.

Het is niet duidelijk hoeveel klanten precies getroffen zijn. Volgens een woordvoerder van het platform gaat het om een “zeer beperkt aantal gevallen”.

De woordvoerder benadrukt dat er geen sprake is van een datalek bij Thuisbezorgd zelf, maar dat cybercriminelen wachtwoorden hebben gebruikt die al eerder zijn buitgemaakt bij een hack op een andere website.

De bestellingen zijn met het PayPal-account van de klanten afgerekend. Anders dan bij iDEAL of bij creditcards wordt bij betalingen via PayPal niet altijd om een verificatiecode gevraagd.

Volgens Thuisbezorgd werden gebruikers die ooit toestemming hebben gegeven voor zogenoemde Recurring Payments (herhaaldelijke betalingen) niet om een dubbele bevestiging gevraagd. Ook al hadden de gebruikers wel tweestapsverificatie ingeschakeld voor hun PayPal-account.

Overigens is dit voor alle geautoriseerde sites bij PayPal zo en is dit niet iets wat specifiek alleen op Thuisbezorgd.nl van toepassing is.

Thuisbezorgd heeft de functie inmiddels voor alle gebruikers uitgeschakeld. “Dit leidt helaas wel tot een vermindering van het gebruiksgemak. We zullen de optie weer activeren zodra we deze vorm van fraude kunnen tegengaan.”

Ook vertelt de woordvoerder dat Thuisbezorgd de opgelopen schade zal vergoeden, al raadt hij gedupeerden wel aan om eerst bij PayPal aan te kloppen. Thuisbezorgd roept ze daarnaast op om aangifte te doen.

Thuisbezorgd werkt aan tweestapsverificatie

Thuisbezorgd werkt aan een extra beveiligingsslag om dit soort incidenten te voorkomen. Het bedrijf wil zo snel mogelijk tweestapsverificatie invoeren.

Cybercriminelen proberen systemen wereld gezondheidsorganisatie WHO te hacken

Hackers proberen steeds vaker in te breken in de systemen van de WHO, bevestigt de gezondheidsorganisatie nadat een malafide website die het interne e-mailsysteem van de WHO nabootste was ontdekt.

“Hoewel harde cijfers ontbreken, vindt er een grote toename plaats van het aantal op de wereldgezondheidsorganisatie gerichte cyberaanvallen”, zegt WHO-veiligheidsmanager Flavio Aggio tegen persbureau Reuters.

Volgens Aggio was de aanval met de website bedoeld om wachtwoorden van WHO-personeel buit te maken. De hackers zijn daar volgens hem niet in geslaagd, maar de gezondheidsorganisatie heeft wel een webpagina gepubliceerd om voor dit soort aanvallen te waarschuwen.

Wie achter de aanval zit, is onduidelijk. Organisaties van de Verenigde Naties, waaronder de WHO, zijn regelmatig doelwit van digitale spionage.

Ook de motivatie om de wereldgezondheidsorganisatie tijdens de coronapandemie aan te vallen, is onduidelijk. Een e-mail van Reuters aan de hackers bleef onbeantwoord.

Vooral jongeren slachtoffer van cybercriminaliteit

Vooral jongeren hebben last van digitale criminaliteit. Van alle jongeren tussen de 12 en 25 jaar oud was 12 procent vorig jaar slachtoffer. Van de 65-plussers werd minder dan 4 procent getroffen.

Dat blijkt uit onderzoek van het Centraal Bureau voor de Statistiek (CBS).

In 2018 waren volgens het CBS 1,2 miljoen Nederlanders slachtoffer van cybercriminaliteit.

Van alle Nederlanders zei 8,5 procent van de internetgebruikers ouder van 12 jaar oud slachtoffer te zijn geweest van cybercriminaliteit.

Bij 4,6 procent van de aanvallen probeerde de aanvaller geld te verdienen door het slachtoffer bijvoorbeeld op te lichten. In 1,8 procent van de gevallen was sprake van een hackaanval.

Mannen en vrouwen waren even vaak slachtoffer. Bij mannen werd vaker geld gestolen, terwijl vrouwen vaak slachtoffer waren van persoonlijke aanvallen waarbij seks in sommige gevallen een rol speelde.

Brabantse hacker hoort officier van justitie drie jaar celstraf eisen

Een 49-jarige hacker uit Boxtel moet wat het Openbaar Ministerie (OM) betreft drie jaar de gevangenis in. De Brabander is hoofdverdachte in een grote fraudezaak waarbij twee bedrijven voor tonnen werden opgrlicht.

De verdachte hackte volgens het OM mailaccounts van een bedrijf in België dat op het punt stond om vliegtuigonderdelen te verkopen aan een bedrijf in Jordanië. In de mailwisseling tussen de bedrijven veranderde de Brabander het rekeningnummer waarop het geld overgemaakt moest worden.

Toen het Belgische bedrijf geen geld ontving, kwam de zaak aan het licht.

Een onderzoek leidde naar een verdachte in Boxtel, die een groot deel van het gestorte bedrag overboekte naar bankrekeningen die op zijn naam stonden.

De verdachte werd in 2018 opgepakt. Hij zegt onschuldig te zijn en noemt Russische criminelen verantwoordelijk. Volgens de officier van justitie blijkt uit niets “dat er anderen bij de oplichting betrokken zijn geweest”.

Het Openbaar Ministerie eiste vier jaar cel, waarvan één jaar voorwaardelijk.

Het OM zegt dat de verdachte ook de geleden schade aan de bedrijven moet terugbetalen.

Duitse energiebedrijven worden vanaf nu in trainingscentrum voorbereid op hackaanvallen

De Duitse stroomnetwerkbeheerder Innogy heeft in Essen een trainingscentrum geopend waar eigen medewerkers en van energieleveranciers worden getraind hoe ze aanvallen van hackers op het elektriciteitsnet kunnen afwenden.

Het belang van het trainingscentrum werd in 2018 duidelijk toen energiebedrijf RWE, dat net als Innogy ook actief is in Nederland, doelwit was van een cyberaanval. Bij een geschil over de bruinkoolwinning in het Hambachwoud, vlakbij de Nederlandse grens bij Limburg, werd de website van RWE platgelegd.

Deskundigen zeggen dat energienetten een aantrekkelijk doelwit zijn voor terroristen.

In het trainingscentrum worden praktijksituaties nagebootst met rollenspellen. Twee teams strijden tegen elkaar. Het ene team vertegenwoordigt de werknemers, het andere team kruipt in de huid van hackers.

Hacker legt alle automatiseringsystemen van Baltimore al een maand lang plat

Het computernetwerk van de Amerikaanse metropool Baltimore is al een maand lang volledig verlamd. Van de waterrekening tot de aankoop van een huis… Niets werkt meer.

Sinds begin mei zijn bijna alle computersystemen in de stad stilgelegd, zelfs e-mails en telefoons zijn dood. De administratie moet het doen met noodoplossingen en papier.

De inwoners van de stad werden op 7 mei voor het eerst ingelicht via Twitter. Vanwege de hack lukte dat niet via mail. Uit de tweet blijkt dat de gemeente op dat moment nog niet de enorme impact van de cybercrime aanval in de gaten had:

“We negeren je niet. Onze e-mail service werkt niet. We werken eraan.”

Werknemers van de stad in de Amerikaanse staat Maryland hadden wel gemerkt dat sommige systemen zich vreemd gedroegen. De IT-beveiligers ontdekten al snel dat tientallen stadsservers door een Trojaan waren versleuteld – en haalden het systeem van het net. Sindsdien kan het hele bestuurlijke en ambtelijke apparaat niets meer doen.

Of het nu gaat om de betaling van de waterrekening, een parkeerkaart of de overdracht van een huis aan een nieuwe eigenaar: alles ligt al wekenlang braak in Baltimore.

Er komen geen e-mails meer binnen, zelfs de telefoonsystemen waren deels buiten werking.

Om op de een of andere manier te kunnen werken, creëerden de medewerkers privé-e-mailadressen voor hun werk, waarna de administratie na jaren weer overging op papier om op de een of andere manier verder te kunnen werken.

Gelukkig zijn de politie, de brandweer en de gezondheidszorg niet getroffen.

De gevolgen zullen waarschijnlijk nog enige tijd aanhouden.

Hoewel het voor de autoriteiten inmiddels mogelijk is om een deel van de dagelijkse werkzaamheden te hervatten, zijn de problemen in Baltimore nog steeds niet opgelost. De stad moet met spoed fors investeren om de computersystemen weer veilig te kunnen gebruiken. De redding van de rest van het systeem zou ongeveer vijf miljoen euro moeten kosten, en tegen het einde van het jaar wordt nog eens vijf miljoen euro verwacht.

Het dagblad Baltimore Sun meldt dat er nog eens tien miljoen euro verloren is gegaan door het gebrek aan inkomsten.

Burgemeester wil niet betalen

Burgemeester Bernard C. Young, bekend als “Jack”, was pas enkele dagen in functie toen het losgeldbriefje arriveerde: de aanvaller eiste 13 Bitcoin, wat overeenkomt met ongeveer 90.000 euro.

Individuele systemen zouden worden vrijgegeven voor drie Bitcoin. Maar burgemeester Young weigerde om te betalen. “Wij betalen geen misdadigers voor hun slechte daden”, verklaarde de burgemeester aan de Baltimore Sun.

Het was immers niet bekend of de systemen na betaling überhaupt weer vrijgegeven zouden worden.

In plaats daarvan heeft Young de NSA en de FBI gewaarschuwd en externe consultants ingeschakeld om de problemen op te lossen.

Al snel werd duidelijk dat de hackers het aanvalsgereedschap “Robbinhood” gebruikten, dat al in andere hoogwaardige zaken werd gebruikt.

De verdenking dat ook een gestolen NSA cyberwapen was gebruikt kon niet worden bevestigd door de deskundigen Eric Sifford en Joe Stewart. Zij legden in een blogbericht uit dat hier geen aanwijzingen voor zijn gevonden in de onderzochte programmaonderdelen.

UPS

En iemand anders ontkent het gebruik van NSA-tools: de hacker zelf. Blijkbaar gefrustreerd door de niet-betaling, vroeg hij enkele dagen geleden via Twitter aan burgemeester Young en verschillende gemeenteraadsleden om eindelijk het bedrag te betalen.

Hij zou zelfs een aantal van de servers gratis ontgrendelen, zo bood de hacker aan. Hij wilde laten zien dat het echt mogelijk was om de gegevens te redden. Hij kon bewijzen dat het de dader was met interne documenten van het stadsbestuur, die door de deskundigen als echt werden beschouwd.

Ondertussen is het account door Twitter geblokkeerd. Niet vanwege de hack, maar omdat de vermeende hacker burgemeester Young racistisch beledigde.

De aanpak van de hacker is ongewoon, benadrukken experts volgens “Ars Technica”.

Normaal gesproken zouden dergelijke aanvallers voorkomen dat zij het bewijs van indringing in het systeem leveren en zelfs in het openbaar commentaar geven op het systeem. Zij vermoeden dat de dader een ander motief voor zijn daad heeft. Ze vermoeden dat hij de hack van de stad ziet als een reclamecampagne om de kracht van zijn chantage-instrument te laten zien. Om zich te kunnen verhuren aan derden.

Wat gebeurt er (niet meer) als het internet in heel Nederland plat wordt gelegd? Dit college van professor Aiko Pras moet je zien!

Dit artikel kun je dankzij internet lezen. Waar je ook bent. Als je even geen dekking hebt voor je smartphone vind je dat hoogst irritant. Als je wifi thuis langzaam is scheldt je op je provider. Maar wat doe je als het hele internet plat ligt?

Professor Aiko Pras van de Universiteit Twente legt het uit in een online college. Hij neemt je mee op een vliegreis die dankzij een grote internetstoring niet door kan gaan. Al snel kom je er dan achter hoe kwetsbaar onze moderne samenleving dankzij internet is geworden.

Dan begrijp je ook hoe belangrijk die irritante bureacratisch ogende Algemene Verordening Gegevensbescherming (AVG) is. Het internet is zo sterk als de zwakste schakel. En wij zijn als gebruikers allemaal een schakel. Als jij je door een cybercrimineel laat verleiden om te reageren op een phishingmail kun jij de zwakke schakel zijn.

Jij kunt er zelf de oorzaak van zijn dat de digitale soldaten van Poetin er in slagen om malware te installeren op jouw computer of op het netwerk van jouw bedrijf. Een computervirus dat zich vervolgens razendsnel verspreidt over het Nederlandse internet en alle systemen platlegt.

Volgens professor Aiko Pras is de kans op een vernietigende digitale aanval op het internet groter dan we denken en zijn wij als maatschappij niet goed voorbereid op de chaos die dit zou kunnen creëren.

Het college van professor Pras op het YouTube kanaal van de Universiteit van Nederland is een aanrader voor iedereen die twijfelt over het nut van de AVG. In 18 minuten legt Pras uit waarom het zo belangrijk is dat iedereen zich bewust is van de risico’s die we lopen en hoe we ons daar tegen kunnen beschermen.

Miljoenen kinderen zijn dankzij goedkope kinderhorloges met GPS eenvoudig traceerbaar voor pedofielen

Uit angst voor pedofielen kopen veel ouders tegenwoordig een GPS-horloge voor hun kinderen. Zo kunnen ze hun kroost overal volgen. Maar de kinderlokkers waar ze de kinderen juist voor willen beschermen kunnen dat ook. Het hacken van zo’n smartwatch met GPS-tracker en microfoon blijkt namelijk een fluitje van een cent.

De software van veel merken relatief goedkope kinderhorloges kan volgens de Britse ethical hackers Ken Munro en Alan Monie van Pen Test Partners heel eenvoudig op afstand worden gekraakt. Veel producenten maken gebruik van dezelfde standaard software.

De slimme kinderhorloges kunnen via Amazon online besteld worden. Ze worden aangeboden voor prijzen tussen de 12 en 90 Euro. Vele malen goedkoper dan een Apple watch.

 

De app waarmee de locatie van de kinderhorloges op smartphones kan worden uitgelezen is volgens de ethical hackers van Pen Test Partners zo slecht geprogrammeerd dat het voor een hacker een klein kunstje is om in te breken op het online account waarmee de smartwatch in verbinding staat.

Veel ouders hebben een gerust gevoel als ze op ieder moment van de dag weten waar hun kind is. De smartwatch voor kinderen maakt dat mogelijk. Het is eigenlijk een nieuw soort mobiele babyfoon waarmee je niet alleen de kinderkamer live kunt meeluisteren, maar overal waar het kind zich bevindt. Zonder dat de omgeving het weet.

Volgens de Algemene Verordening Gegevensbescherming (AVG) mag dat niet, maar het gebeurt wel. Als er kinderen met zo‘n smartwatch in de buurt zijn weet je nu dus dat je moet oppassen waar je over praat. Big papa en big mama are watching you…

Maar wat mama en papa kunnen, kan een kinderlokker ook. En dan wordt die smartphone een modern paard van Troje. De kindersmartphone kan een nachtmerrie worden.

Kwaadwillenden kunnen kinderen met zo’n horloge dankzij de GPS-tracker ook volgen. Ze weten ook exact waar de kinderen zich bevinden. En via de ingebouwde microfoon kunnen ze dus de kinderen en hun omgeving live afluisteren. Dat is handig als je de rollen omdraait.

 

Kinderlokkers weten zo dus ook of kinderen alleen zijn. Als ze een kind langer volgen kunnen ze gedragspatronen registreren. Ze kennen de routes waarlangs kinderen dagelijks lopen en fietsen. Waar ze spelen.

En ze weten dat mama en papa kunnen zien waar hun kind is en ook kunnen meeluisteren. Als ze het kind dus willen ontvoeren weten ze dat ze het horloge meteen af moeten doen en weggooien. En dan is het ‘veilige’ kind meteen van de radar van mama en papa verdwenen. Misschien hebben ze nog net de laatste woorden van hun zoontje of dochtertje kunnen horen… Horror! Je moet er niet aan denken.

Ach, zo‘n vaart zal het niet lopen, denken sommige mensen nu. Maar volgens Pen Test Partners is het naief om zo te denken. Helemaal als je zoals deze professionele ethical hackers weet hoe cybercriminelen dagelijks dankbaar misbruik maken van de fouten van slordige slechte programmeurs.

De verbinding die de smartwatch en de app voor smartphones maken met het internet blijkt tot afgrijzen van de ethical hackers onversleuteld te zijn. „Geen encryptie – wat is dit, de jaren negentig?“

Vrijwel alle gegevens worden in platte tekst verstuurd. Iedereen heeft daardoor toegang tot de gegevens.

Het hacken van een ‘slimme’ kinderhorloge blijkt bijzonder eenvoudig. Het gebruikers-ID-nummer kan eenvoudig onderschept worden. Een hacker die een smartwatch voor kinderen koopt kan aan de hand van de inloggegevens van die ene smartwatch inbreken in miljoenen andere smartwatches.

De hacker hoeft enkel te analyseren hoe zijn gekochte smartwatch verbinding maakt met de cloudomgeving. Nadat de onversleutelde communicatie tussen de smartwatch, de app en de backendserver in de cloud met standaard hackersoftware onderschept is hoeft de hacker alleen het ID-nummer te wijzigen om vervolgens toegang te krijgen tot de foto, de verblijfplaats en andere gegevens van een willekeurig kind van dat ID.

Als er miljoenen smartwatches zijn is de kans klein dat ze net die van jouw kind er uitpikken… denken sommige mensen nu. Verkeerd gedacht. Het is heel simpel om kinderen in een bepaalde omgeving te traceren. Kinderlokkers kunnen de smartwatch voor kinderen eenvoudig gebruiken als een soort buienradar voor kinderen. Een online catalogus voor pedofielen.

Ethical hacker Monro van Pen Test Partners zegt dat hij met een eenvoudig zelfgeprogrammeerd C#-programma automatisch de accounts van 12.000 MiSafe horloges had kunnen bekijken en ook een foto van elk kind kon downloaden, plus hun naam, andere persoonlijke gegevens, evenals het telefoonnummer van de ouders en van het horloge zelf.

Munro vertelde de BBC dat een pedofiel met behulp van gemakkelijk verkrijgbare software zich kan voordoen als een van ouders van het kind en rechtstreeks kan communiceren.

“Zodra een hacker het telefoonnummer van de ouder heeft achterhaald kan hij zich voordoen als papa of mama. Hij kan rechtstreeks contact opnemen met het kind en het overtuigen het huis of de speelplaats te verlaten en naar een bepaalde locatie te gaan. Het kind denkt dat papa of mama het zegt en zal de opdracht klakkeloos uitvoeren.”

Pen Test Partners zegt geprobeerd te hebben om met de fabrikant van de MiSafe Kids Watch Plus in contact te komen. Dat is niet gelukt. Het is volgens Pen Test Partners onwaarschijnlijk dat er ooit een beveiligingsupdate voor de kinderhorloges zal komen.

De fabrikant kwam in februari ook al in opspraak vanwege een datalek bij populaire babyfoons.

De kindersmartwatches zijn in Noorwegen inmiddels verboden. De Britse consumentenbond pleit ook voor een verbod.

Advies van de ethical hackers aan ouders die zo’n smartwatch voor hun kinderen hebben gekocht: verwijder de app van je smartphone en vernietig de smartwatch met een hamer of een baksteen.

Unboxing video MiSafe smartwatch voor kinderen