Niebezpieczne zabawki „pochłaniające” dane

28 lutego, 2017

Od pewnego czasu z rynku docierają sygnały, że „inteligentne zabawki” gromadzą wrażliwe dane, które nie zawsze są należycie zabezpieczone. W 2015 roku przed Świętami Bożego Narodzenia na półki sklepowe trafiła lalka „Hello Barbie”, wyposażona w głośnik, mikrofon, procesor i moduł Wi-Fi. Eksperci z firmy G Data wskazują, że po podłączeniu do sieci lalka dyskutowała z dzieckiem, pobierając instrukcje z chmury. Jednak okazało się, że system może łączyć się z nieautoryzowanymi sieciami WiFi, a tym samym umożliwić hakerom dostęp do przesyłanych na serwer danych.

Inna firma zabawkarska Genesys Toy, sprzedająca produkty do wielu krajów świata, wywołała niepokój wśród rodziców, a także organizacji zajmujących się ochroną prywatności. Jedna z zabawek tego producenta gromadzi szereg informacji, w tym współrzędne GPS oraz nagrywa rozmowy!. Wśród pozyskiwanych danych znajdują się:

  • imię dziecka
  • imiona rodziców
  • szkoła do której uczęszcza dziecko
  • ulubiony program telewizyjny
  • ulubiona księżniczka
  • ulubiona zabawka

Federalna Agencja ds. Internetu (Federal Network Agency) zaleciła zniszczenie lalki Cayli opracowanej przez Toy Genesys. Zabawkę uznano za urządzenie szpiegowskie. Cayla posiada niezabezpieczone łącze Bluetooth, co umożliwia podsłuchiwanie oraz rozmowę z dzieckiem bawiącym się lalką. Całkowita sprzedaż lalki w Niemczech została wstrzymana ze skutkiem natychmiastowym. U naszych zachodnich sąsiadów, zarówno sprzedaż i posiadanie wszelkich nieautoryzowanych urządzeń przesyłowych stanowi przestępstwo.

Zakres gromadzonych danych sprawia, że większość rodziców czuje dyskomfort. Są to informacje bardzo osobiste, a kiedy dostaną się w ręce niepowołanych osób, rodzina może wpaść w tarapaty. Domowy lub szkolny adres to prawdziwa pożywka dla pedofili i innych dręczycieli, nie wspominając już o informacjach znanych wąskiemu gronu najbliższych członków rodziny. Inne skargi składane przez rodziców dotyczą kamer ukrytych w newralgicznych miejscach zabawek, takich jak np. oczy lalki czy misia.

Zgromadzone dane nie są przetwarzane przez firmę Genesys Toys. Funkcja rozpoznawania głosu bazuje na technologii zewnętrznej firmy Nuance Technology. Informacje przesyłane są na serwery do Stanów Zjednoczonych i tam też analizowane przez dostawcę. Taka praktyka nie jest niczym nowym, bowiem na takich samych zasadach działa asystent głosowy Siri firmy Apple. Analiza języka mówionego odbywa się w chmurze, ponieważ możliwości obliczeniowe lalki czy też telefonu komórkowego są niewystarczające, żeby poradzić sobie z tym trudnym zadaniem.

Sytuacja staje się problematyczna, ponieważ dotyczy danych osób nieletnich. Inny przykład z przeszłości wiąże się z firmą VTech. Hakerzy przejęli 6 milionów kont tego producenta, zdobywając daty urodzenia, płeć i imiona dzieci oraz 190 gigabajtów zdjęć. Po incydencie VTech uszczelnił sieć i zmienił warunki pozyskiwania danych, ale jednocześnie próbował przenieść odpowiedzialność na rodziców.

Bądźmy szczerzy – kiedy ostatni raz przeczytaliśmy napisany drobnym druczkiem regulamin korzystania z serwisu bądź usługi internetowej? Tak naprawdę zarówno Toy Genesys, jak i Nuance Technology informują w regulaminach o gromadzeniu danych. Niestety, niektóre sformułowania są niejasne, a kontrowersyjne zapisy są zazwyczaj ukryte pomiędzy wierszami. Nikogo nie powinno dziwić, że zabawki są też wykorzystywane do lokowania produktów – jedna z lalek sprzedawanych w Stanach Zjednoczonych mówi, że uwielbia podróżować do Disney World, a jej ulubioną atrakcją jest Epcot Center.

Rodzice oraz organizacje walczące o ochronę danych wykazują się dużą wrażliwością na przypadki związane z naruszeniem prywatności dzieci. Dlatego większość skarg przeciwko producentom inteligentnych zabawek wiąże się z tym, że małoletni użytkownicy mają ograniczone zdolności prawne i nie mogą zaaprobować regulaminu. Pojawia się też kwestia – jak zweryfikować czy rodzice rzeczywiście wyrazili zgodę na przetwarzanie danych dziecka?

Wątpliwości budzi też polityka informacyjna Nuance Technology. Koncern zaznacza, że przestrzega zasad ochrony prywatności danych. Tymczasem firma nie spełnia wymogów praw COPP (ustawa o ochronie prywatności dzieci w internecie).

Co powinni zrobić rodzice?

Niektórzy producenci zabawek nie dbają o zachowanie prywatności najmłodszych użytkowników. Nie oznacza to jednak, że należy potępiać wszystkich producentów interaktywnych zabawek. Niepokojące sygnały powinny zmotywować rodziców do bardziej rzetelnych wyborów i dokonywania świadomych decyzji o zakupie.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]