Un jouet pour enfants alimenté par l’IA, appelé Bondu, a laissé plus de 50 000 journaux de discussion privés accessibles à toute personne possédant un compte Gmail. Les chercheurs en sécurité Joseph Thacker et Joel Margolis ont découvert la vulnérabilité début février, constatant que le portail Web de l’entreprise destiné à surveiller les conversations n’était absolument pas sécurisé.
Données non protégées
Les données exposées comprenaient les noms des enfants, leurs dates de naissance, les détails de leur famille et des transcriptions détaillées de chaque conversation qu’ils ont eue avec le jouet. Ce niveau d’accès s’est produit sans aucun piratage ; il suffit de vous connecter avec un compte Google standard pour obtenir un accès complet aux informations sensibles.
Les chercheurs ont pu voir des détails intimes tels que les noms d’animaux de compagnie des enfants pour le jouet, les collations préférées et les préférences personnelles. Les données ont été stockées à la vue de tous, ce qui représente une grave violation de la vie privée.
Réponse rapide, inquiétudes persistantes
Bondu a résolu le problème quelques heures après avoir été alerté, en fermant le portail et en le relançant avec des mesures de sécurité. Le PDG Fateen Anam Rafid a déclaré qu’aucun accès non autorisé n’avait eu lieu au-delà de la découverte des chercheurs. Cependant, l’incident soulève des questions plus larges sur la sécurité des données dans les produits pour enfants basés sur l’IA.
Implications plus larges
La vulnérabilité met en évidence les risques liés aux jouets IA qui collectent des données utilisateur détaillées. La console Bondu exposée utilisait des services d’IA tiers tels que Gemini de Google et GPT-5 d’OpenAI, partageant potentiellement les conversations des enfants avec ces sociétés.
Les chercheurs soupçonnent également que la console a peut-être été « codée en vibration » – créée à l’aide d’outils d’IA générative connus pour introduire des failles de sécurité. L’incident souligne le potentiel d’utilisation abusive des données sensibles des enfants, y compris les risques de manipulation, de manipulation, voire d’enlèvement.
L’illusion de la sécurité
Bondu se présente comme un compagnon d’IA sûr pour les enfants et offre même une prime de 500 $ pour les réponses inappropriées. Pourtant, l’entreprise a simultanément laissé toutes les données des utilisateurs totalement non sécurisées, mettant en évidence un décalage dangereux entre les affirmations en matière de sécurité et les pratiques de sécurité réelles.
Cette affaire constitue un avertissement sévère : les mesures de sécurité en matière d’IA n’ont aucun sens lorsque la protection sous-jacente des données est inexistante. L’incident a incité les chercheurs à reconsidérer la viabilité des jouets IA dans les ménages, compte tenu des risques inhérents pour la vie privée.
