Un jucărie AI a expus 50.000 de conversații cu copii pentru orice utilizator Gmail
O investigație a dezvăluit că portalul online al jucăriei Bondu permitea accesul la conversații private ale copiilor pentru toți utilizatorii cu un cont Gmail. Mai mult de 50.000 de transcrieri ale chat-urilor, care includeau informații sensibile despre copii, au fost accesibile fără autentificare adecvată, conform unei analize realizate de cercetători. Aceasta ridică întrebări grave despre securitatea datelor, potrivit wired.com.
👉 Acces neautorizat la transcrierile conversațiilor copiilor
Thacker, un cercetător în securitate, împreună cu prietenul său Joel Margolis, a descoperit că portalul web Bondu, destinat părinților pentru a verifica conversațiile copiilor lor, permitea accesul la transcrierile majorității interacțiunilor dintre utilizatorii jucăriei și aceasta. Fără a efectua hacking propriu-zis, doar conectându-se cu un cont Google, cei doi au descoperit conversații private ale copiilor, apelativele pe care aceștia le foloseau pentru Bondu, preferințele alimentare și pasiunile lor.
Margolis și Thacker au constatat că datele expuse conțineau numele copiilor, datele de naștere, numele membrilor familiei, „obiectivele” stabilite de părinți pentru copii și, mai grav, transcrieri ale fiecărei conversații purtate între copii și jucărie. Bondu a confirmat că mai mult de 50.000 de transcrieri de chat-uri erau accesibile prin portalul expus, cu excepția celor șterse manual de părinți sau personal. “A fost o încălcare majoră a intimității copiilor,” spune Thacker despre ceea ce a văzut.
👉 Reacția companiei și implicațiile securității datelor
După ce cercetătorii au alertat Bondu despre expunerea de date, compania a acționat rapid pentru a închide consola, relansând portalul a doua zi cu măsuri corecte de autentificare. CEO-ul Bondu, Fateen Anam Rafid, a declarat că problemele de securitate au fost remediate „în câteva ore”, urmate de o revizuire de securitate mai amplă. A adăugat că Bondu „nu a găsit dovezi ale accesului dincolo de cercetători.”
Deși vulnerabilitatea a fost remediată, cercetătorii susțin că ceea ce au descoperit reprezintă un avertisment mai mare cu privire la pericolele jucăriilor AI pentru copii. Bondu a stocat o istorie detaliată a fiecărei conversații pentru a îmbunătăți interacțiunea jucăriei cu utilizatorul său. În timp ce nu au fost păstrate înregistrări audio ale conversațiilor, Margolis și Thacker afirmă că continuitatea informațiilor reprezintă un risc semnificativ.
Margolis subliniază că informațiile sensibile despre gândurile și sentimentele copiilor ar putea fi folosite în scopuri malefice. “Acesta este un vis pentru răpitori,” spune el. “Ne referim la informații care ar putea atrage un copil într-o situație periculoasă.” De asemenea, ei au observat că Bondu, în baza a ceea ce au văzut în consola sa de administrare, pare să utilizeze serviciile AI de la Google și OpenAI, ceea ce poate implica partajarea informațiilor despre conversațiile copiilor cu aceste companii.
Rafid a declarat că Bondu utilizează servicii AI externe pentru a genera răspunsuri, implicând transmiterea sigură a conținutului conversațiilor pentru procesare. Deși Bondu a implementat unele măsuri de siguranță, cercetătorii cred că zona de codificare ar putea conține slăbiciuni din cauza folosirii instrumentelor de generare AI. În ultimele luni, atenția asupra riscurilor jucăriilor AI a crescut, dar s-a concentrat, în general, pe pericolele legate de conversații inadecvate sau comportamente riscante.
Bondu a oferit o recompensă de 500 de dolari pentru raportarea unui „răspuns inadecvat” de la jucărie, susținând că nimeni nu a reușit să îi facă pe jucării să spună lucruri nepotrivite. Totuși, Thacker și Margolis observă că în ciuda acestor măsuri, Bondu a lăsat datele sensibile complet expuse. “Este o conflare perfectă a siguranței cu securitatea,” spune Thacker. Înainte de a analiza securitatea Bondu, Thacker a luat în considerare achiziționarea de jucării AI pentru copiii săi, dar a reconsiderat după ce a văzut expunerea datelor. “Chiar vreau asta în casa mea? Nu, nu vreau,” a conchis el.