Bereits Ende November 2015 haben Experten Sicherheitslücken in der mit WLAN und Mikrofon ausgestatteten Hello Barbie nachgewiesen. Nun stehen Spielzeuganbieter Mattel und dessen Software-Partner ToyTalk erneut in der Kritik. Wie Mitarbeiter des in San Diego ansässigen Sicherheitsunternehmens Somerset Recon in einem Report ausführlich beschrieben, haben sie insgesamt 14 Sicherheitslecks in ToyTalks Webservice ausmachen können. Zehn davon wurden als „niedrig“ eingestuft, vier als „mittel“. Sieben der gefundenen Sicherheitslücken seien mittlerweile behoben worden.
Der schwerwiegendste Fehler betreffe den Passwortschutz der Hello Barbie: Die Mitarbeiter von Somerset Recon hätten es in ihren Tests geschafft, auf der ToyTalk-Website „unendlich viele“ Eingabeversuche für Kennwörter durchzuführen, ohne vom System gesperrt zu werden. Die Passwörter müssten zwar aus acht Buchstaben bestehen, würden aber keine weiteren Symbole wie Nummern erfordern, was die Erfolgschancen von Hackern deutlich erhöhe, sich in den Account von Eltern einloggen zu können. Im schlimmsten Fall könnten sich Angreifer so persönliche Informationen beschaffen – zum Beispiel Sprachaufnahmen der mit der Puppe kommunizierenden Kinder.
Weiterhin stießen die Forscher auf Sicherheitslücken hinsichtlich der E-Mail-Adressen der registrierten Barbie-Besitzer. Es sei beispielsweise ohne weiteres möglich, aus dem System heraus böswillige Phishing-Mails zu versenden. Zudem würden diverse mit Hello Barbie verknüpfte Webseiten von ToyTalk unverschlüsselte Kommunikation erlauben. Laut Somerset Recon hätte ToyTalk „deutlich mehr für die Sicherheit unternehmen können, bevor das Produkt veröffentlicht wurde“.
Hello Barbie ist seit dem Weihnachtsgeschäft 2015 in den USA für umgerechnet etwa 68 Euro erhältlich. Datenschützer und besorgte Eltern kritisierten bereits seit der Ankündigung der sprechenden Barbie auf der New Yorker Spielzeugmesse 2015, dass sie die Privatsphäre von Kindern verletze und für Überwachung im Kinderzimmer sorge. Das brachte Hello Barbie unter anderem den Negativpreis „Big Brother Award“ des Datenschutzvereins Digitalcourage ein.