Компания Bondu, производитель интерактивных мягких игрушек с искусственным интеллектом, оставила в открытом доступе 50 000 записей чатов игрушки с детьми. Как выяснили исследователи в области кибербезопасности, компания практически никак не защитила свой сайт, и любой желающий мог получить доступ к личным данным владельцев и разговорам между детьми и их игрушками.
Проблему обнаружил специалист по безопасности Джозеф Такер. Как он рассказал изданию Wired, его соседка купила две игрушки Bondu для своих детей. Вместе с коллегой Джоэлом Марголисом Такер решил проверить, насколько безопасны разработки компании. Всего за несколько минут исследователи получили доступ к полным расшифровкам бесед между детьми и игрушками через родительскую веб‑консоль Bondu.
Оказалось, что для входа в консоль было достаточно любой учётной записи Gmail, система не требовала подтверждения прав доступа. В результате любой пользователь мог извлечь из разговоров любые данные, включая имена и даты рождения детей, имена членов их семей, личные истории, любимые занятия, прозвища, которыми дети называли своих Bondu, и даже их предпочтения в еде и музыке.
По оценке исследователей, через уязвимый портал можно было получить доступ примерно к 50 тысячам полноценных расшифровок чатов, которые охватывали почти весь период существования платформы. После уведомления экспертов Bondu оперативно отключила доступ к консоли и уже через сутки запустила её заново с дополнительными средствами аутентификации и закрытыми учётными записями.
Генеральный директор Bondu Фатин Анам Рафид заявил, что специалисты компании по ИБ не нашли признаков несанкционированного доступа со стороны третьих лиц, кроме самих исследователей.
Автор: AnnieBronson
