03 fev Brinquedo com IA vazou mais de 50 mil conversas com crianças

Posted at 12:00h in Tech-Pt-br by

Pesquisadores de segurança descobriram que a empresa de brinquedos com Inteligência Artificial Bondu deixou completamente expostas mais de 50 mil transcrições de conversas entre crianças e seus brinquedos inteligentes. 

A falha permitia que qualquer pessoa com uma conta do Gmail acessasse dados sensíveis de menores, incluindo nomes, datas de nascimento e registros completos de diálogos privados.

Joseph Thacker e Joel Margolis, especialistas em segurança digital, identificaram a vulnerabilidade no portal web da empresa, que continha um sistema interno que deveria ser acessível apenas a funcionários e pais cadastrados. 

Os brinquedos Bondu são dinossauros de pelúcia equipados com IA que permitem conversas interativas com crianças. O sistema funciona como um chatbot projetado para atuar como um “amigo imaginário” das crianças. 

Para manter conversas contextualizadas, o brinquedo armazena transcrições de diálogos anteriores, permitindo que “lembre” de informações compartilhadas pela criança em interações passadas.

Dados sensíveis de crianças foram expostos

As informações acessadas incluíam nomes completos de crianças, datas de nascimento, nomes de familiares, apelidos dados aos brinquedos e transcrições completas de todas as conversas mantidas com o produto. 

Leia mais: Criança “viciada” em ChatGPT expõe riscos de apego emocional à IA

A Bondu confirmou aos pesquisadores que praticamente todas as conversas já realizadas pelos brinquedos estavam expostas, exceto aquelas deletadas manualmente por pais ou funcionários.

A empresa não armazenava o áudio das conversas, apenas transcrições, que eram deletadas após um período curto. Ainda assim, essas transcrições continham detalhes íntimos compartilhados pelas crianças durante conversas privadas com seus brinquedos

Bondu implementou correção em horas

Após serem notificados pelos pesquisadores, a Bondu desativou o portal vulnerável em minutos e o relançou no dia seguinte com autenticação adequada, incluindo um sistema de verificação que exige credenciais específicas para liberar acesso.

Fateen Anam Rafid, CEO da empresa, afirmou em comunicado que as correções foram concluídas em poucas horas e que a empresa não encontrou evidências de acesso aos dados além dos dois pesquisadores.

A Bondu contratou uma empresa de segurança externa para validar a investigação e monitorar seus sistemas. Rafid declarou que a empresa “leva a privacidade do usuário a sério” e comunicou todos os usuários ativos sobre os protocolos de segurança.

Compartilhamento de dados com empresas terceiras

A investigação também revelou que a Bondu utiliza serviços de inteligência artificial do Google (Gemini) e da OpenAI (GPT5) para processar as conversas. Isso significa que partes das conversas das crianças são enviadas para essas empresas externas para que os sistemas de IA gerem respostas adequadas.

A empresa afirmou usar configurações empresariais que teoricamente impedem que Google e OpenAI utilizem esses dados para treinar seus modelos de IA, além de aplicar “controles contratuais e técnicos” para minimizar o compartilhamento de informações.

Riscos de segurança infantil preocupam especialistas

Margolis classificou a exposição de dados como “o sonho de um sequestrador”, argumentando que as informações disponíveis permitiriam que pessoas mal-intencionadas construíssem perfis detalhados de crianças. 

Com acesso a nomes, rotinas, preferências, medos e relacionamentos familiares, indivíduos poderiam manipular ou enganar menores para situações perigosas.

Os pesquisadores também suspeitam que o portal vulnerável pode ter sido desenvolvido usando ferramentas de programação assistidas por IA, sistemas que geram código automaticamente, mas que frequentemente produzem falhas de segurança por não seguirem todas as melhores práticas de proteção de dados.

A Bondu não respondeu à pergunta sobre se utilizou IA no desenvolvimento do portal.

TecMundo expõe abuso infantil na internet

A terceira edição da série Realidade Violada mergulha nas operações criminosas de produção, armazenamento e comercialização de material de abuso sexual infantil.

Com depoimentos de sobreviventes, autoridades policiais e especialistas em segurança digital, Realidade Violada 3: Predadores Sexuais está disponível gratuitamente no YouTube.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.