- A plataforma web de Bondu, destinada a pais e à monitorização do uso do brinquedo, ficou quase totalmente sem proteção, permitindo acesso a quase todas as conversas de crianças com o brinquedo por qualquer usuário com uma conta do Gmail.
- Pesquisadores conseguiram visualizar nomes, datas de nascimento, nomes de familiares, objetivos definidos pelos pais e, principalmente, resumos e transcripts de todas as conversas anteriores entre a criança e o toy Bondu, que não haviam sido deletadas.
- A Bondu confirmou que mais de cinquenta mil transcripts estavam disponíveis por meio da porta de administração exposta, e disse ter tomado medidas rápidas para derrubar o console e, no dia seguinte, relançá-lo com autenticação adequada.
- A empresa afirma ter corrigido o problema em poucas horas, realizado uma revisão de segurança e adotado proteções adicionais; afirmou não ter encontrado evidência de acesso além dos pesquisadores envolvidos.
- Classificam como risco potencial o uso de serviços de IA de terceiros, como o Google Gemini e o GPT‑5, para gerar respostas, além de observar vulnerabilidades associadas ao uso de ferramentas de IA na codificação e ao acesso de funcionários a dados sensíveis.
Bondu, empresa de brinquedos com chat impulsionado por IA, deixou quase sem proteção seu console web. Pesquisadores acessaram e identificaram conversas de crianças com os brinquedos, em mais de 50 mil transcripts. O acesso ocorreu por meio de uma porta aberta no portal público da empresa.
Em apenas alguns minutos, os pesquisadores entraram usando uma conta do Gmail e visualizaram nomes de crianças, datas de nascimento, preferências dos brinquedos e até objetivos definidos por pais. As conversas completas estavam disponíveis para qualquer usuário autenticado.
Ao serem alertados, os responsáveis pela Bondu retiraram o console do ar em minutos e o relançaram no dia seguinte com autenticação adequada. A empresa afirmou ter implementado novas medidas de segurança e realizaram uma revisão de proteção de dados.
Descoberta e alcance
Os investigadores também concluíram que mais de 50 mil transcripts estavam acessíveis, envolvendo quase todas as conversas guardadas pelo sistema. A Bondu confirmou que essas conversas eram acessíveis a quem logasse com uma conta Google.
Medidas e respostas oficiais
O CEO Fateen Anam Rafid disse que os ajustes de segurança ocorreram em poucas horas e que houve uma revisão de segurança e implementação de proteções adicionais para todos os usuários. A Bondu afirma não ter encontrado evidência de acesso além dos pesquisadores.
Implicações de privacidade
Os pesquisadores destacam que, mesmo com a correção, o episódio evidencia riscos maiores sobre toy IA para crianças. Pergunta relevante é como o acesso é monitorado dentro das empresas e quais controles fortalecem credenciais de funcionários.
Uso de serviços de terceiros
Também há indícios de que a Bondu utilize serviços de IA de terceiros, como o Gemini (Google) e o GPT-5, para gerar respostas e verificar segurança. A empresa afirmou que transmite conteúdo de conversas de forma segura aos serviços, com medidas para limitar o que é enviado e para evitar uso em treinamento dos modelos.
Perspectivas de segurança
Os especialistas ressaltam que o episódio acende alerta sobre a vulnerabilidade de plataformas de IA voltadas a crianças. Mesmo com a correção, cresce a dúvida sobre quantas pessoas dentro dessas empresas têm acesso aos dados, como esse acesso é monitorado e como são protegidas as credenciais.
Entre na conversa da comunidade