FAQ - Veelgestelde Vragen Over het incident 1. Ik heb gehoord dat een onbevoegde partij toegang heeft gehad tot de de Explor@ Park database - kunnen jullie bevestigen of dit waar is? We kunnen bevestigen dat op 14 november jongstleden een onbevoegde partij toegang heeft gehad tot de gebruikersinformatie in de Explor@ Park database en Kid Connect servers. Explor@ Park is een online platform waar gebruikers apps, spellen, verhalen en andere educatieve content kunnen downloaden voor hun VTech product(en). Met Kid Connect kunnen kinderen met sommige VTech producten berichten en andere content versturen naar de smartphone of tablet van de ouders. 2. Welke website is hierdoor getroffen? De ongeautoriseerde toegang heeft betrekking gehad op het online platform Explor@ Park en de VTech Kid Connect servers. Uit voorzorg hebben we Explor@ Park, het Kid Connect netwerk en de volgende websites tijdelijk offline gehaald terwijl wij werken aan de verbetering van de beveiliging. www.planetvtech.com www.lumibeauxreves.com www.planetvtech.fr www.vsmilelink.com www.planetvtech.de www.planetvtech.co.uk www.planetvtech.es www.proyectorvtech.es www.sleepybearlullabytime.com de.vsmilelink.com fr.vsmilelink.com uk.vsmilelink.com es.vsmilelink.com 3. Hoe zijn jullie erachter gekomen dat een onbevoegde partij toegang heeft gehad? Op 23 november jongstleden hebben wij een e-mail ontvangen van een Canadese journalist die vragen stelde met betrekking tot dit incident. Naar aanleiding van deze e-mail, zijn wij direct een grondig onderzoek gestart en zagen wij dat er op 14 november onregelmatige activiteiten plaats hebben gevonden in onze Explor@ Park database. Wij hebben direct de getroffen website uitvoerig gecontroleerd en maatregelen genomen ter verdediging en voorkoming van misbruik door onbevoegden. 4. Wanneer hebben jullie ontdekt dat een onbevoegde partij toegang heeft gehad tot jullie database? Wij hebben op 24 november jongstleden ontdekt dat een onbevoegde partij toegang heeft gehad tot onze database.
5. Waarom hebben jullie de consumenten niet eerder ingelicht? Na het bevestigen van de feiten rond de ongeautoriseerde toegang tot onze database, hebben we alle Explor@ Park gebruikers zo spoedig mogelijk per e-mail ingelicht op 27 november. 6. Hoeveel gebruikers zijn getroffen door dit incident? In totaal zijn er wereldwijd 4.854.209 ouder accounts en 6.368.509 kindprofielen, waaronder 1,2 miljoen Kid Connect gebruikers, getroffen door dit incident. Daarnaast zijn er ook 235.708 ouder accounts en 227.705 kindprofielen in PlanetVTech getroffen. Een kindprofiel bevat in tegenstelling tot andere profielen alleen de naam, geslacht en geboortedatum van het kind. 7. Kunnen jullie een overzicht bieden van het aantal getroffen consumenten in elk land? Het aantal Explor@ Park gebruikers per land is als volgt: Land Ouder accounts Kindprofielen Verenigde Staten 2.212.863 2.894.091 Frankrijk 868.650 1.173.497 Verenigd Koninkrijk 560.487 727.155 Duitsland 390.985 508.806 Canada 237.949 316.482 Overige 168.394 223.943 Spanje 115.155 138.847 België 102.119 133.179 Nederland 100.828 124.730 Ierland 40.244 55.102 Latijns-Amerika 28.105 36.716 Australië 18.151 23.096 Denemarken 4.504 5.547 Luxemburg 4.190 5.014 Nieuw-Zeeland 1.585 2.304 8. Wat is het verband tussen Explor@ Park en Kid Connect? Explor@ Park is een online platform waar apps, spellen, verhalen en andere educatieve content gedownload kan worden voor een VTech apparaat. Kid Connect is een berichtenservice, zoals Whatsapp waarmee je berichten en andere content kunt versturen. Met deze app kunnen kinderen met hun VTech apparaat, waaronder de Storio 3S, Storio MAX en DigiGo, berichten versturen naar de smartphone of tablet van de ouders. Om Kid Connect te kunnen gebruiken, dienen ouders eerst in het bezit te zijn van een Explor@ Park account en de Kid Connect app te installeren op hun smartphone of tablet. Kinderen dienen alleen van tevoren een profiel aan te maken wanneer ze gebruik willen maken van Kid Connect. blz. 2
9. Hoe kan het dat de onbevoegde partij zo eenvoudig toegang wist te krijgen tot jullie systeem? Helaas is gebleken dat onze database niet zo veilig was als deze had moeten zijn. Na het ontdekken van de ongeautoriseerde toegang hebben wij direct een grondig onderzoek uitgevoerd, waaronder een uitgebreide controle van de getroffen website en het toepassen van maatregelen ter verdediging en voorkoming van misbruik door onbevoegden. Naast de genomen maatregelen breiden wij ons onderzoek uit naar nieuwe en betere manieren om de beveiliging van onze Explor@ Park database te versterken. 10. Kunnen jullie bevestigen dat de onbevoegde partij foto s en tekstberichten van kinderen en hun ouders op Kid Connect heeft verkregen, zoals gemeld door Motherboard? Omdat het onderzoek nog steeds loopt, kunnen we dit op dit moment niet bevestigen. Wij kunnen echter wel bevestigen dat deze afbeeldingen versleuteld zijn door AES128. 11. Er wordt ook beweerd dat er chatlogs en audiobestanden van Kid Connect zijn ontvreemd. Kunnen jullie dit bevestigen? Kunnen jullie ook aangeven waarom er chatlogs en andere data op jullie server wordt opgeslagen? Waarom wordt de data niet alleen op het intern geheugen van het product opgeslagen? Dit kunnen we op dit moment nog niet bevestigen aangezien het onderzoek nog loopt. Wat we wel kunnen aangeven is dat de audiobestanden zijn versleuteld door AES128 en dat de chatlogs niet zijn versleuteld. Kid Connect is een berichtenservice, net als Whatsapp. Onze beveiligingsprotocollen vereisen dat alleen niet-bezorgde berichten tijdelijk worden opgeslagen op onze server. Deze berichten worden na 30 dagen weer verwijderd. Wat betekent dit voor mij? 12. Waar zijn deze getroffen consumenten gevestigd? Onze database bevat gebruikersinformatie van consumenten in de volgende landen: Verenigde Staten, Canada, Verenigd Koninkrijk, Ierland, Frankrijk, Duitsland, Spanje, Nederland, België, Denemarken, Luxemburg, Latijns-Amerika, Hong Kong, China, Australië en Nieuw-Zeeland. 13. Wat voor soort informatie is opgeslagen in de database? Algemene gebruikersinformatie waaronder; gebruikersnamen, e-mailadressen, versleutelde wachtwoorden, geheime vragen en antwoorden bij een vergeten wachtwoord, IP-adres, postadres en downloadgeschiedenis van Explor@ Park. Kindprofielen waaronder; naam, geslacht en geboortedatum. blz. 3
Versleutelde Explor@ Park content waaronder; Kid Connect profielfoto's, niet-bezorgde Kid Connect berichten en andere Explor@ Park content (verhalen, apps, spellen etc). Rapportage download verkoopcijfers. Bevat geen creditcardgegevens en bankgegevens. VTech bewaart en verwerkt geen enkele creditcardgegevens van klanten op de Explor@ Park website. Voor het volledige betaalproces bij het aankopen van downloads op Explor@ Park worden gebruikers doorverwezen naar een beveiligde website van derden. Bevat geen persoonlijke identificatiegegevens (zoals paspoortnummer, sofinummer, burgerservicenummer (BSN) of rijbewijsnummer). Deze zijn nooit gevraagd aan gebruikers. 14. Zijn er creditcardgegevens gestolen? Nee, onze database bevat geen enkele creditcardgegevens. VTech bewaart en verwerkt geen enkele creditcardgegevens van klanten op de Explor@ Park website. Voor het volledige betaalproces bij het aankopen van downloads op Explor@ Park worden gebruikers doorverwezen naar een beveiligde website van derden. 15. Waarom hebben jullie deze gebruikersinformatie nodig? Explor@ Park is een online platform waar gebruikers apps, spellen, verhalen en andere educatieve content kunnen downloaden voor hun VTech product(en). Om dit soort content aan te schaffen, dient de gebruiker een account aan te maken. Deze informatie wordt gebruikt om de consument te identificeren en de downloads te monitoren. Om de veiligheid en privacy van onze gebruikers beter te kunnen waarborgen, zijn we de nodige verbeteringen in onze beveiliging aan het doorvoeren, waaronder het uitsluitend opslaan van de noodzakelijke informatie die nodig is om volledig gebruik te kunnen maken van onze diensten. Alle overige informatie zal van onze servers worden verwijderd. 16. Is er iets wat ik kan doen om mezelf beter te beschermen? Ook al zijn alle persoonlijke wachtwoorden van gebruikers versleuteld, zelfs versleutelde data kan vatbaar zijn voor vakkundige hackers. Wij adviseren u daarom om direct uw wachtwoorden op andere websites aan te passen indien deze dezelfde combinatie van e-mail, wachtwoord en eventueel geheime vraag en antwoord bevatten. 17. Wat doet VTech eraan om opgeslagen data van Kid Connect te beschermen? De dienst Kid Connect is tijdelijk offline gehaald. We onderzoeken op dit moment onze beveiligingsprotocollen en zullen alle niet-verzonden berichten verwijderen voordat deze dienst weer online zal worden gezet. blz. 4
18. Hoe kan ik mijn wachtwoord aanpassen en hoe verwijder ik mijn account en persoonlijke data van jullie servers? Als voorzorgsmaatregel hebben we Explor@ Park, de dienst Kid Connect en enkele andere websites tijdelijk offline gehaald, om grondig onderzoek te doen naar de beveiliging en additionele beveiligingsprotocollen te implementeren. We zullen consumenten nader adviseren wanneer de diensten klaar zijn om weer online gezet te worden. 19. Wanneer kunnen we verwachten dat Explor@ Park weer online zal komen? En dien ik me dan opnieuw te registreren? We werken momenteel hard om onze diensten weer zo snel mogelijk ter beschikking te stellen aan de consumenten. We zullen consumenten nader adviseren wanneer de diensten klaar zijn om weer online gezet te worden. 20. Is het veilig voor mijn kinderen om te spelen met een VTech apparaat met de Explor@ Park app? Kan de onbevoegde partij contact krijgen met mijn kinderen, meekijken of hun locatie traceren via de VTech apparaten? Tot op heden is uit het onderzoek gebleken dat de onbevoegde partij alleen toegang heeft gehad tot onze server en niet het apparaat zelf. Op dit moment is er geen bewijs om aan te nemen dat het speelgoed onveilig is. We zullen het onderzoek voortzetten en meer informatie bekendmaken wanneer deze beschikbaar is. 21. Zijn er gegevens van consumenten gevonden die gepubliceerd zijn op het internet? We hebben geen bewijs dat er data strafrechtelijk is gebruikt of verspreid. Ook al zijn alle persoonlijke wachtwoorden van gebruikers versleuteld, zelfs versleutelde data kan vatbaar zijn voor vakkundige hackers. Wij adviseren u daarom om direct uw wachtwoorden op andere websites aan te passen indien deze dezelfde combinatie van e-mail, wachtwoord en eventueel geheime vraag en antwoord bevatten. Wat doet VTech hieraan? 22. Wat doet VTech om haar gebruikersinformatie te beschermen? Wij hebben direct een grondig onderzoek uitgevoerd, waaronder een uitgebreide controle van de getroffen website en het toepassen van maatregelen ter verdediging en voorkoming van misbruik door onbevoegden. Het onderzoek duurt voort omdat we additionele maatregelen bekijken om de beveiliging van onze Explor@ Park database en Kid Connect te versterken. We zijn vastberaden om de gegevens van onze gebruikers en hun privacy zo goed mogelijk te beschermen om soortgelijke incidenten in de toekomst te kunnen voorkomen. Onze Privacyverklaring kunt u hier vinden. blz. 5
23. Heeft VTech de consumenten geïnformeerd? Ja, wij hebben onze Explor@ Park gebruikers geïnformeerd dat een onbevoegde partij toegang heeft gehad tot onze Explor@ Park database. We hebben daarnaast een verklaring gepubliceerd op onze website https://www.vtech.com/en/media/press-releases. We zullen additionele berichten plaatsen zodra deze beschikbaar zijn. Wij hebben onderstaande e-mailadressen beschikbaar gesteld om vragen te beantwoorden: Verenigde Staten: vtechkids@vtechkids.com Canada: toys@vtechcanada.com Frankrijk: explora_park@vtech.com Duitsland: downloadmanager@vtech.de Nederland: exp@vtech.com Spanje: informacion@vtech.com Verenigd Koninkrijk: consumer_services@vtech.com Australië en Nieuw-Zeeland: enquiriestoys_aunz@vtech.com Hong Kong: corporate_mail@vtech.com Overige landen en regio s: corporate_mail@vtech.com 24. Zal de dienst Kid Connect ook offline gehaald worden? Kid Connect, Explor@ Park en een aantal andere websites zijn offline gehaald op 29 november. 25. Welke andere maatregelen heeft VTech genomen? We hebben tijdelijk de Explor@ Park website, Kid Connect en een aantal andere websites offline gehaald om ervoor te zorgen dat de gebruikersinformatie beschermd is tegen mogelijke nieuwe aanvallen. www.planetvtech.com www.lumibeauxreves.com www.planetvtech.fr www.vsmilelink.com www.planetvtech.de www.planetvtech.co.uk www.planetvtech.es www.proyectorvtech.es www.sleepybearlullabytime.com de.vsmilelink.com fr.vsmilelink.com uk.vsmilelink.com es.vsmilelink.com Wanneer deze websites weer online worden gezet, streven we ernaar om deze te voorzien van de meest up-to-date beveiligingsprotocollen binnen onze industrie. blz. 6
Om dit te bereiken, werken we samen met een onafhankelijke derde partij die gespecialiseerd is op het gebied van beveiliging. Deze partij zal samen met onze ingenieurs een grondig forensisch onderzoek afronden en ons helpen een nieuwe, veiligere manier van databeveiliging op te zetten. We zullen tevens alle aspecten van onze omgang met gebruikersinformatie in kaart brengen en aanbevelingen formuleren voor het verbeteren van onze data beveiligingsprocessen. 26. Heeft VTech deze zaak gemeld bij de autoriteiten? Worden jullie onderzocht? We hebben juridische specialisten op het gebied van gegevensbeveiliging ingeschakeld die contacten onderhouden met lokale autoriteiten. We zijn vastberaden om van deze gebeurtenis te leren door de noodzakelijke verbeteringen aan onze netwerkbeveiliging door te voeren, zodat we er zeker van zijn dat gebruikers op een veilige manier plezier kunnen blijven beleven aan onze producten met de wetenschap dat hun gegevens goed beveiligd zijn. blz. 7