- A plataforma web da Bondu, guia de pais e monitoramento de conversas, ficou quase totalmente sem proteção, permitindo que qualquer pessoa com uma conta Gmail acessasse transcripts de quase todas as conversas dos brinquedos com crianças.
- No total, foram encontrados mais de cinquenta mil transcripts de chats, além de dados como nomes, datas de nascimento e preferências dos pequenos, armazenados pela empresa.
- Após os pesquisadores alertarem a Bondu, a console ficou indisponível por minutos e voltou com autenticação adequada; a empresa afirmou ter implementado medidas de segurança e iniciado uma revisão ampla.
- Especialistas apontam risco maior: dados sensíveis de crianças podem ser usados para exploração ou manipulação, e questionam como as credenciais e acessos são gerenciados dentro de empresas que trabalham com IA.
- A Bondu disse que utiliza serviços de IA de terceiros para gerar respostas e checagens de segurança, com medidas para minimizar o envio de dados e evitar o uso de conteúdos para treinar modelos.
Dois pesquisadores de segurança identificaram uma falha crítica na empresa de brinquedos com IA Bondu. A consola web da empresa, destinada a pais monitorarem conversas dos filhos, estava quase totalmente desprotegida e permitia acesso a conversas de crianças com os brinquedos a qualquer usuário com conta Gmail. A descoberta levou à exposição de mais de 50 mil transcrições.
Os pesquisadores Joseph Thacker e Joel Margolis afirmam que, ao simplesmente acessar a portal público com uma conta Google, passaram a ver informações privadas das crianças, incluindo apelidos, preferências e informações básicas. O material abrangia nomes, datas de nascimento e dados familiares, além de resumos de chats anteriores entre crianças e o brinquedo.
A Bondu informou que o console foi retirado do ar em minutos após o contato e relaunch com autenticação adequada no dia seguinte. O CEO Fateen Anam Rafid disse que correções foram concluídas em questão de horas e que não houve evidência de acesso além dos pesquisadores envolvidos. A empresa afirmou ter implementado medidas preventivas adicionais.
O que estava exposto
Segundo os pesquisadores, o sistema era vulnerável porque o painel de administração permitia acesso via credenciais de qualquer usuário do Gmail, sem autenticação suficiente. Durante a verificação, não houve download de dados sensíveis pelos pesquisadores, apenas capturas de tela e um vídeo de confirmação.
Como a Bondu reagiu
A Bondu informou que reforçou a segurança, realizou uma revisão mais ampla e contratou uma empresa de segurança para validar a investigação. A empresa ressaltou que apenas dados relevantes para a geração de respostas eram transmitidos a serviços de IA de terceiros, com controles para minimizar o que é enviado.
Implicações e debates
Especialistas externos destacam riscos de privacidade em brinquedos com IA, especialmente pelo volume de informações sobre pensamentos e sentimentos de crianças. Questiona-se como é feito o monitoramento de acessos e como credenciais são protegidas internamente.
Entre na conversa da comunidade