- Компания Bondu оставила незащищённой веб-консоль, через которую были доступны 50 000 записей чатов интерактивных игрушек с детьми.
- Для доступа к личным данным и перепискам с игрушками достаточно было любой учётной записи Gmail без дополнительной аутентификации.
- После выявления уязвимости Bondu быстро закрыла открытый доступ и усилила меры безопасности.
Производитель интерактивных мягких игрушек с искусственным интеллектом Bondu допустил серьёзный просчёт в обеспечении информационной безопасности. Исследователи в области кибербезопасности обнаружили, что компания оставила в открытом виде около 50 000 записей чатов между детьми и их игрушками. Доступ к этим данным мог получить любой человек, обладающий аккаунтом Gmail, без дополнительной проверки и подтверждения полномочий.
Проблема стала известна благодаря безопасности Джозефу Такеру, который вместе с коллегой по запросу соседки проверил надёжность защиты сервиса Bondu. В ходе короткого теста они получили полный доступ к расшифровкам бесед, в которых содержалась обширная личная информация детей и их семей – имена, даты рождения, любимые занятия и предпочтения, а также прозвища для игрушек. Системный портал позволял родителям просматривать эти данные через специальную веб-консоль, однако отсутствие должной защиты сделало её уязвимой.
По заявлению экспертов, который был опубликован в издании Wired, данная уязвимость существовала большую часть периода функционирования платформы, что ставит под угрозу конфиденциальность большого объёма информации. После уведомления Bondu предпринимались срочные меры — компания быстро перекрыла доступ к консоли и в течение суток перезапустила её с улучшенной системой аутентификации и закрытием открытых аккаунтов.
Генеральный директор Bondu Фатин Анам Рафид отметил, что внутренние специалисты по информационной безопасности не зафиксировали попыток злоумышленного доступа, кроме тех, что инициировали сами исследователи в ходе тестирования системы безопасности. Тем не менее ситуация подчёркивает важность тщательного соблюдения мер защиты персональных данных, особенно когда речь идёт о взаимодействии с детьми и обработке их личной информации.
Инцидент с Bondu служит напоминанием о необходимости комплексного подхода к обеспечению кибербезопасности IoT-устройств, особенно тех, что нацелены на работу с уязвимой аудиторией, такой как дети. В современных условиях любые недочёты в защите данных могут привести к серьёзным последствиям для пользователей и репутации компаний.
