2023 © Copyright 404 - Todos os direitos reservados

Brinquedo com IA vazou 50 mil conversas com crianças

Falha de segurança permitiu acesso a diálogos privados com simples login do Gmail, revelando dados sensíveis como nomes e datas de nascimento.
Imagem: Bondu/Divulgação

A Bondu, fabricante norte-americana de brinquedos com IA, deixou seu console web praticamente sem proteção. Assim, permitindo que qualquer pessoa com conta Gmail acessasse mais de 50 mil registros de conversas entre crianças e seus brinquedos de pelúcia. A falha de segurança foi descoberta no início de fevereiro pelos pesquisadores Joseph Thacker e Joel Margolis. Eles conseguiram visualizar milhares de transcrições de diálogos privados sem realizar qualquer tipo de invasão.

O problema ocorreu porque o portal online da empresa, criado para monitoramento parental e acompanhamento de desempenho dos produtos, não possuía autenticação adequada.

De acordo com a Wired, os especialistas simplesmente fizeram login com uma conta Google comum e obtiveram acesso a praticamente todas as conversas realizadas entre crianças e os brinquedos, exceto aquelas manualmente excluídas.

Dados sensíveis expostos sem proteção

As informações expostas incluíam nomes de crianças, datas de nascimento, nomes de familiares, “objetivos” estabelecidos pelos pais e, mais preocupante, resumos detalhados e transcrições completas de todas as conversas anteriores.

“Parecia muito invasivo e realmente estranho saber essas coisas”, afirmou Thacker. “Poder ver todas essas conversas foi uma violação massiva da privacidade das crianças.”

A falha de segurança pode estar relacionada ao uso de ferramentas de programação baseadas em IA para desenvolver a infraestrutura web da Bondu, o que frequentemente resulta em vulnerabilidades.

Resposta da empresa e autoridades

Quando alertada sobre a exposição, a Bondu agiu rapidamente para desativar o console em questão de minutos, relançando o portal no dia seguinte com medidas adequadas de autenticação. O CEO Fateen Anam Rafid declarou que as correções “foram concluídas em poucas horas, seguidas por uma revisão mais ampla de segurança e implementação de medidas preventivas adicionais para todos os usuários.”

A empresa também contratou uma firma de segurança para validar sua investigação e monitorar seus sistemas no futuro. Anam Rafid afirmou que a Bondu “não encontrou evidências de acesso além dos pesquisadores envolvidos”.

“Levamos a privacidade do usuário a sério e estamos comprometidos em proteger os dados dos usuários”, disse Anam Rafid. “Comunicamos a todos os usuários ativos sobre nossos protocolos de segurança e continuamos a fortalecer nossos sistemas com novas proteções.”

Em resposta à reportagem da Wired sobre as descobertas, a senadora dos EUA Maggie Hassan enviou uma carta à empresa descrevendo a situação como “devastadora” e exigindo explicações detalhadas sobre suas práticas de coleta e proteção de dados.

“A gravidade desta exposição levanta sérias preocupações sobre o modelo de negócios que sua empresa adotou e seus esforços para antecipar e prevenir ameaças significativas à segurança e privacidade das crianças”, escreveu Hassan.

Riscos potenciais e implicações

Margolis alertou para os perigos da situação: “Existem implicações de privacidade em cascata a partir disso. Basta um funcionário ter uma senha ruim, e então estamos de volta ao mesmo lugar onde começamos, com tudo exposto à internet pública.”

O especialista foi ainda mais enfático sobre os riscos: “Para ser franco, isso é o sonho de um sequestrador. Estamos falando de informações que permitem que alguém atraia uma criança para uma situação realmente perigosa, e estava essencialmente acessível a qualquer pessoa.”

Além da falha de segurança, os pesquisadores descobriram que a Bondu utiliza o Gemini do Google e o GPT5 da OpenAI. Ou seja, potencialmente compartilhando informações sobre as conversas das crianças com essas empresas. A empresa inclusive oferece uma recompensa de US$ 500 para relatos de “uma resposta inadequada” do brinquedo.

Sobre o uso de serviços externos, Anam Rafid explicou que a Bondu utiliza “serviços empresariais de IA de terceiros para gerar respostas e executar certas verificações de segurança. O que envolve a transmissão segura de conteúdo de conversas relevantes para processamento.” Ele acrescentou que a empresa toma precauções para “minimizar o que é enviado, usar controles contratuais e técnicos, e operar sob configurações empresariais onde os provedores afirmam que prompts/saídas não são usados para treinar seus modelos.”

Após investigar a segurança da Bondu, Thacker mudou de ideia sobre dar brinquedos com IA aos seus próprios filhos. “Eu realmente quero isso na minha casa? Não, não quero. É meio que um pesadelo de privacidade”, disse.

Além disso, Thacker questionou a eficácia das medidas de proteção: “Isso é uma perfeita confluência de segurança com proteção. A ‘segurança da IA’ importa quando todos os dados estão expostos?”

Assine a newsletter do Giz Brasil