安全研究人员Joseph Thacker和Joel Margolis近期披露了一起针对儿童AI玩具Bondu的严重安全事件,该玩具的配套Web门户对持有Gmail账户的任何人开放了敏感数据。
该门户本意是供家长查阅孩子与玩具的互动情况,并供Bondu工作人员监控产品使用情况,但研究人员发现,通过任意谷歌账户登录后,他们立即就能查阅到几乎所有用户与Bondu玩具的历史对话记录。
根据Ars Technica的报道,研究人员仅通过登录系统便获取了儿童的宠物昵称、喜好、零食偏好以及与玩具的详细对话摘要。
Bondu公司在与研究人员的交流中确认,该暴露的Web门户中包含了超过五万条聊天记录,这几乎涵盖了所有未被家长或员工手动删除的对话。
泄露的数据集极具敏感性,其中包括儿童的真实姓名、出生日期、家庭成员信息,以及家长为孩子设定的特定“目标”等个人身份信息。
Thacker和Margolis指出,Bondu玩具的设计初衷在于鼓励儿童进行亲密的、一对一的交流,使得这些被泄露的对话内容尤为令人担忧。
此次事件凸显了面向儿童的物联网(IoT)设备在数据保护和身份验证机制上存在的重大设计缺陷。
Bondu尚未公布修复此漏洞的具体时间表,但该事件无疑将引发业界对儿童数据隐私保护标准的更严格审视。
