Sebuah investigasi terbaru oleh peneliti keamanan web mengungkapkan pelanggaran privasi yang signifikan yang melibatkan Bondu, sebuah perusahaan yang memproduksi mainan obrolan AI untuk anak-anak. Para peneliti, Thacker dan Joel Margolis, menemukan bahwa portal web Bondu, yang dirancang untuk pengawasan orang tua, dibiarkan sebagian besar tidak terlindungi. Kelalaian ini memungkinkan siapa saja yang memiliki akun Gmail untuk mengakses transkrip hampir semua percakapan yang dilakukan anak-anak dengan mainan mereka. Para peneliti masuk tanpa melakukan peretasan dan menemukan banyak informasi pribadi, termasuk nama anak-anak, preferensi, dan riwayat obrolan yang rinci.
Data yang terungkap mencakup lebih dari 50.000 transkrip obrolan, yang dikonfirmasi oleh Bondu dapat diakses melalui konsol web yang ditujukan untuk publik. Pelanggaran yang mengkhawatirkan ini segera menimbulkan kekhawatiran tentang privasi anak-anak yang menggunakan mainan tersebut, dengan Thacker menggambarkan pengalaman itu sebagai mengganggu dan pelanggaran privasi yang besar. Para peneliti segera memberi tahu Bondu, yang bertindak cepat untuk mengamankan portal tersebut, menerapkan langkah-langkah otentikasi yang tepat dalam beberapa jam.
CEO Bondu, Fateen Anam Rafid, menyatakan bahwa perusahaan sangat memperhatikan privasi pengguna dan telah berkomunikasi dengan semua pengguna aktif mengenai protokol keamanan. Ia menekankan bahwa tidak ada bukti akses tidak sah di luar para peneliti yang ditemukan. Namun, insiden ini telah memicu diskusi tentang implikasi yang lebih luas dari mainan yang didukung AI, terutama mengenai data sensitif yang mereka kumpulkan tentang anak-anak.
Para peneliti mengungkapkan kekhawatiran tentang potensi penyalahgunaan informasi yang mereka akses, menyoroti bahwa data semacam itu dapat dieksploitasi untuk tujuan berbahaya. Mereka menunjukkan bahwa industri mainan AI harus menangani risiko yang terkait dengan keamanan data dan privasi, terutama mengingat sifat sensitif dari informasi yang dikumpulkan dari anak-anak. Margolis memperingatkan bahwa bahkan seorang karyawan dengan praktik keamanan yang buruk dapat menyebabkan terulangnya paparan ini.
Selain pelanggaran data, para peneliti mencatat bahwa Bondu tampaknya menggunakan layanan AI pihak ketiga, menimbulkan pertanyaan tentang bagaimana percakapan anak-anak mungkin dibagikan dengan perusahaan eksternal. Meskipun Bondu mengklaim telah memiliki langkah-langkah perlindungan, insiden ini menjadi pengingat akan kerentanan yang melekat dalam teknologi AI. Seiring dengan meningkatnya kekhawatiran tentang mainan AI, kebutuhan akan langkah-langkah keamanan yang kuat dan praktik penanganan data yang bertanggung jawab belum pernah menjadi lebih penting.