Een Australische fabrikant van gps-horloges voor kinderen heeft twee keer dezelfde beveiligingsfout gemaakt waardoor het mogelijk was om persoonlijke gegevens van gebruikers op te vragen en de weergegeven locatie van kinderen te manipuleren. In tegenstelling tot de eerste keer zijn gebruikers dit keer niet over de kwetsbaarheid geïnformeerd.

Het gaat om het TicTocTrack-horloge van fabrikant iStaySafe, wat eigenlijk gewoon een versie van de My Gator Watch is, een gps-horloge waarin eerder kwetsbaarheden werden ontdekt. Via het horloge kunnen ouders zien waar hun kind zich bevindt en ontvangen ze een waarschuwing als die een bepaald gebied verlaat. Vorig jaar april demonstreerde onderzoeker Ken Munro van securitybedrijf Pen Test Partners dat de beveiliging van de backend ernstig te wensen overliet.

Alleen door het aanpassen van een getal was het mogelijk om volledige toegang tot de data van andere gezinnen te krijgen, waaronder de locatie van kinderen, namen van ouders, telefoonnummer van ouders en andere persoonlijke identificeerbare informatie. Verder was het mogelijk om de locatie van een kind aan te passen, waardoor het voor de ouders leek alsof het kind op een bepaalde locatie was, terwijl dat niet het geval was Het was zelfs mogelijk om de echte locatie van het gps-horloge in de backend te verwijderen zonder een spoor achter te laten.

Fabrikant iStaySafe haalde de backend offline, rolde een beveiligingsupdate uit en informeerde gebruikers. Nu bijna een jaar later is dezelfde beveiligingsfout opnieuw aangetroffen. Beveiligingsonderzoeker Gordon Beeming wilde twee van de horloges voor zijn kinderen aanschaffen en was benieuwd of de dienst nog steeds kwetsbaar was. Wat inderdaad het geval was. Iedereen met een TicTocTrack-account kon door het aanpassen van een getal informatie van andere gebruikers opvragen, zoals namen, e-mailadressen, telefoonnummers en profielfoto's. De onderzoeker wist zo de data van zeker duizend gebruikers te verkrijgen.

Daarnaast bleek het wederom mogelijk om de weergegeven locatie van kinderen te spoofen. Volgens Munro, die ook werd ingeschakeld, ging het om dezelfde kwetsbaarheid. Wederom kwam iStaySafe met een beveiligingsupdate om het probleem te verhelpen. Dit keer besloot de fabrikant klanten echter niet te waarschuwen, omdat dit volgens de Australische of Europese privacywetgeving niet noodzakelijk zou zijn. "Ons product heeft op de twee ethische hackers na die het probleem bij ons rapporteerden aan niemand persoonlijke data gelekt", aldus de directeur van het bedrijf tegenover ISMG.