Виробник ШІ-іграшок Bondu залишив свою веб-консоль майже повністю незахищеною. Дослідники, які отримали до неї доступ, виявили записи практично всіх розмов дітей зі своїми плюшевими улюбленцями.
Виробник ШІ-іграшок Bondu залишив свою веб-консоль майже повністю незахищеною. Дослідники, які отримали до неї доступ, виявили записи практично всіх розмов дітей зі своїми плюшевими улюбленцями.
У січні до дослідника з кібербезпеки Джозефа Такера звернулася його сусідка з проханням перевірити безпечність ШІ-іграшки, яку вона замовила дітям, пише Ars Technica.
Йдеться про плюшевих динозаврів компанії Bondu, які мають функцію ШІ-чату, що дозволяє дітям спілкуватися з іграшкою як із свого роду «уявним другом».
Приділивши роботі всього кілька хвилин, Джозеф Такер та його друг, дослідник веббезпеки Джоел Марголіс, зробили приголомшливе відкриття: вебпортал Bondu, створений для того, щоб батьки могли перевіряти розмови своїх дітей, а персонал компанії — стежити за роботою іграшок, також дозволяв будь-кому з Gmail-акаунтом переглядати розшифровки фактично кожного діалогу, який маленькі користувачі коли-небудь вели з іграшкою.
Без жодного хакерського втручання, просто увійшовши через довільний Google-акаунт, двоє дослідників миттєво побачили приватні розмови дітей. Їм відкрилися лагідні прізвиська, які малеча давала своїм Bondu, уподобання та антипатії маленьких власників іграшок, їхні улюблені смаколики та танцювальні рухи.
Загалом дослідники виявили, що ці дані включали імена дітей, дати їхнього народження, імена членів сім’ї, «цілі» розвитку дитини, обрані батьками, і, що найтривожніше, детальні звіти та повні розшифровки всіх попередніх розмов між дитиною та її Bondu. Ця іграшка фактично була створена так, щоб спонукати до інтимного спілкування віч-на-віч.
У розмовах із дослідниками Bondu підтвердила, що через відкритий вебпортал було доступно понад 50 000 розшифровок чатів — по суті, всі розмови, які коли-небудь вели іграшки, за винятком тих, що були видалені батьками або персоналом вручну.
За словами Такера та Марголіса, коли вони попередили Bondu про кричущу вразливість даних, компанія відреагувала миттєво і за лічені хвилини відключила консоль. Вже наступного дня портал перезапустили із впровадженням належних заходів автентифікації.
Гендиректор Bondu Фатін Анам Рафід заявив, що виправлення безпеки «були завершені протягом кількох годин, після чого було проведено ширший аудит безпеки та впроваджено додаткові превентивні заходи для всіх користувачів». Він також додав, що компанія «не знайшла доказів стороннього доступу до даних, окрім згаданих дослідників».
