Історія з плюшевими динозаврами Bondu, у яких вбудовано чат-бот на основі штучного інтелекту, стала показовим прикладом того, наскільки ІІ-іграшки можуть бути небезпечними для конфіденційності дітей. Через помилку в налаштуванні веб-порталу будь-який користувач з обліковим записом Gmail отримував доступ до листування дітей з іграшкою, а також до чутливих персональних та сімейних даних.
Як помилка авторизації відкрила доступ до дитячих чатів Bondu
Інцидент виявили фахівці з кібербезпеки Джозеф Такер та Джоел Марголіс. Приводом для перевірки стала буденна ситуація: сусідка одного з дослідників придбала ІІ-іграшку Bondu для своїх дітей і попросила оцінити її безпеку. Уже за кілька хвилин аналізу експерти знайшли відкритий веб-портал Bondu з некоректною авторизацією.
Суть проблеми полягала у відсутності належної перевірки прав доступу (access control). Після входу через Google-акаунт система не обмежувала користувача його власними записами. У результаті людина бачила не лише свої дані, а й повний список розмов усіх власників іграшки, що є класичною уразливістю типу Broken Access Control, яку OWASP стабільно відносить до найкритичніших для веб-застосунків.
Які персональні дані дітей опинилися у вільному доступі
Через уразливий портал можна було переглянути не тільки чати, а й широкий спектр персональних даних. У відкритому доступі опинилися:
імена дітей та дати їх народження;
імена членів родини;
«освітні» чи «розвивальні» цілі, які батьки вказували в застосунку;
повні текстові транскрипти всіх діалогів з ІІ-іграшкою Bondu.
За даними компанії, витік зачепив понад 50 000 чатів, тобто майже всю історію взаємодії дітей з гаджетом, за винятком бесід, які користувачі видалили вручну. Фактично стороння особа могла дізнатися, як дитина називає іграшку, що любить їсти, у які ігри грає, які події відбуваються у сім’ї — від дрібних побутових подробиць до потенційно чутливих емоційних тем.
Реакція компанії Bondu та формальні кроки з безпеки
Після отримання повідомлення про інцидент компанія оперативно закрила доступ до консолі, а вже наступного дня перезапустила портал з виправленою системою аутентифікації та авторизації. Керівництво Bondu заявило, що на усунення проблеми пішло кілька годин, після чого було проведено додатковий аудит безпеки.
Компанія також наголосила, що не виявила доказів зловмисного використання уразливості. Водночас у галузі кібербезпеки відомо, що відсутність слідів у журналах (логах) не гарантує відсутності несанкціонованого доступу: журнали можуть бути неповними, зберігатися обмежений час або не фіксувати всі типи подій.
Наслідки для безпеки дітей та можливості соціальної інженерії
Дитячі чати з ІІ-іграшкою часто містять набагато більше, ніж безневинні відповіді на питання. На основі такого масиву можна сформувати детальний профіль дитини і сім’ї: розпорядок дня, улюблені місця, хобі, типові маршрути, згадки про школу, інколи — адресу або орієнтири поруч з домом.
З точки зору кібербезпеки це створює значний потенціал для соціальної інженерії та таргетованих атак проти дітей. Зловмисник, який має доступ до таких даних, може легко налагодити довірливе спілкування, підібрати «правильні» теми для контакту офлайн чи онлайн, організувати шахрайські схеми або психологічний тиск. Подібні ризики вже фіксувалися в інцидентах з іншими «розумними» іграшками та дитячими сервісами, зокрема у справах проти виробників VTech та CloudPets, які привертали увагу регуляторів у США та ЄС.
Хмарні ІІ-платформи і ланцюжок постачальників даних
Для генерації відповідей Bondu використовує зовнішні ІІ-сервіси, зокрема Google Gemini та, за заявами компанії, моделі OpenAI. Це означає, що частина вмісту дитячих діалогів передається третім сторонам, навіть якщо дані попередньо мінімізуються або псевдонімізуються. Bondu стверджує, що застосовує корпоративні режими, в яких промпти не використовуються для додаткового навчання моделей.
Однак будь-яка інтеграція з хмарними ІІ-платформами формує ланцюжок постачальників даних, де загальний рівень захисту дорівнює «найслабшій ланці». У низці юрисдикцій, включно з ЄС (GDPR) та США (COPPA для дитячих сервісів), обробка дитячих даних регулюється особливо жорстко. Подібні інциденти потенційно можуть стати предметом перевірок з боку наглядових органів, навіть якщо компанія оперативно усуває технічну помилку.
Швидка розробка з генеративним ІІ та новий клас уразливостей
За оцінками дослідників, веб-портал Bondu, ймовірно, створювався з активним використанням інструментів генеративного ІІ та підходу, який неформально називають «vibe coding» — коли розробники покладаються на згенеровані фрагменти коду без повноцінного безпекового аналізу й тестування. У таких сценаріях критично важливі компоненти, як-от авторизація, контроль доступу та ізоляція даних користувачів, нерідко реалізуються з грубими помилками.
З поширенням генеративного ІІ подібні ситуації ставатимуть частішими: ринок вимагає швидкого виведення продуктів, виробники економлять на secure coding та незалежному аудиті, а вразливості з’являються вже не в інфраструктурі підприємств, а безпосередньо в побутових пристроях для дітей. Це підвищує ймовірність того, що витоки даних торкатимуться саме наймолодших користувачів.
Як батькам оцінювати безпеку ІІ-іграшок: практичні рекомендації
Інцидент з Bondu демонструє, що будь-який «розумний» дитячий гаджет слід сприймати як потенційне джерело витоку даних. Перед покупкою ІІ-іграшки варто звернути увагу на кілька ключових моментів:
1. Політика конфіденційності та зберігання даних. Переконайтеся, що виробник чітко описує, які дані збираються, як довго зберігаються чати, чи можна їх повністю видалити.
2. Шифрування та регіон зберігання. Дізнайтеся, чи шифруються дані при передачі та зберіганні, у якій країні розміщені сервери, чи підпадає сервіс під вимоги GDPR або інших регуляторних актів.
3. Інтеграції з ІІ-платформами. З’ясуйте, чи передаються дані зовнішнім провайдерам (Google, OpenAI тощо) та в якому обсязі. Бажано, щоб дитячі дані не використовувалися для додаткового навчання моделей.
4. Мінімізація поділу особистою інформацією. Поясніть дитині, що не варто розповідати іграшці адресу, повні імена, фінансову інформацію, точні маршрути до школи чи секцій. В ідеалі варто вимикати збирання зайвих даних у налаштуваннях застосунку.
5. Регулярний перегляд та очищення історії. Якщо платформа дозволяє видаляти чати, налаштуйте періодичне очищення історії та переглядайте, яку інформацію дитина ділить з гаджетом.
Цифрові іграшки на базі штучного інтелекту можуть бути корисним інструментом для розвитку дитини, проте лише за умови відповідального ставлення до кібербезпеки. Виробники мають впроваджувати принципи privacy by design та security by design ще на етапі проєктування продукту, а батьки — критично оцінювати, якою ціною досягається «розумність» іграшки. Чим більше ми запитуємо про захист даних перед покупкою та активніше контролюємо налаштування конфіденційності, тим менше шансів, що наступний гучний витік стосуватиметься наших дітей.
