San Francisco (Usa) – Bondu, azienda specializzata in peluche interattivi basati su intelligenza artificiale, ha subito un grave incidente di sicurezza che ha esposto oltre 50mila conversazioni tra bambini e giocattoli smart.
La causa è stata identificata in una vulnerabilità nella piattaforma di gestione interna: utilizzata da genitori per monitorare le interazioni con i bambini, e dallo staff per analizzare le prestazioni del prodotto, era accessibile semplicemente tramite un account Gmail, senza ulteriori controlli di autenticazione. In questo modo chiunque avrebbe potuto consultare trascrizioni complete delle chat e dati personali sensibili come nomi, date di nascita, soprannomi, informazioni familiari e obiettivi educativi dei minori, consentendo potenzialmente una ricostruzione di profili molto dettagliati dei bambini.
Bondu ha confermato che i log accessibili superavano le 50mila unità e riguardavano di fatto quasi tutte le interazioni avvenute con i giocattoli. Pur avendo chiarito che gli smart plush non conservano l’audio, eliminato dopo breve tempo, Bondu ha ammesso che la trascrizione dei testi viene mantenuta, per migliorare le risposte tramite machine learning. Dopo la segnalazione, l’azienda ha corretto rapidamente la vulnerabilità e rafforzato i sistemi di autenticazione, dichiarando di non aver riscontrato accessi non autorizzati al di fuori dell’attività di ricerca interna all’azienda.
