מה נחשף בפרצה של Bondu?

שמות ילדים, תאריכי לידה, שמות משפחה, העדפות ושיחות מלאות – כ-50 אלף תמלילים.

איך החברה תגובה?

סגרה את הפורטל תוך דקות, הוסיפה אבטחה ושכרה מומחים.

מה הסיכונים בצעצועי AI?

חשיפת נתונים רגישים, שיתוף עם ספקי AI ושימוש פנימי לא מאובטח.

מה נחשף בפרצה של Bondu?

שמות ילדים, תאריכי לידה, שמות משפחה, העדפות ושיחות מלאות – כ-50 אלף תמלילים.

איך החברה תגובה?

סגרה את הפורטל תוך דקות, הוסיפה אבטחה ושכרה מומחים.

מה הסיכונים בצעצועי AI?

חשיפת נתונים רגישים, שיתוף עם ספקי AI ושימוש פנימי לא מאובטח.

פרצת אבטחה בצעצוע AI: 50K שיחות ילדים חשופות

בעולם שבו צעצועי AI הופכים לחברים קרובים של ילדים, פרצת אבטחה חמורה בחברת Bondu חשפה כ-50 אלף תמלילי שיחות של ילדים עם צעצועי הדינוזאורים שלה. כל מי שהיה לו חשבון ג'ימייל יכול היה להיכנס לפורטל האינטרנט של החברה ולקרוא שיחות פרטיות, שמות חיות מחמד, העדפות אוכל וריקודים. חוקרי האבטחה ג'וזף תאקר וג'ואל מרגוליס גילו את הפרצה תוך דקות ספורות, ללא כל פריצה.

הפרצה התגלתה כששכנה של תאקר הזכירה לו על הזמנת צעצועי Bondus, צעצועי דינוזאורים עם יכולת שיחה מבוססת AI שמתפקדים כחבר דמיוני. תאקר, מומחה לסיכוני AI לילדים, בדק וביחד עם מרגוליס גילה שהפורטל המיועד להורים ולצוות החברה פתוח לכולם. ניתן היה לראות שמות ילדים, תאריכי לידה, שמות בני משפחה, יעדים שהורים קבעו ושיחות מלאות. החברה אישרה שמעל 50 אלף תמלילים היו חשופים, למעט אלה שנמחקו ידנית.

תאקר תיאר את התחושה כ'פולשנית ומטרידה', והדגיש שמדובר בהפרה חמורה של פרטיות ילדים. כשהתריעו בפני Bondu, החברה סגרה את הפורטל תוך דקות והשיקה גרסה מאובטחת למחרת. מנכ"ל החברה, פטין אנאם ראפיד, מסר להארד וויירד שהתיקונים בוצעו תוך שעות, ללא עדויות לגישה נוספת מעבר לחוקרים. החברה שכרה חברת אבטחה לבדיקה ועדכנה משתמשים על פרוטוקולי האבטחה.

המקרה מדגיש סיכונים רחבים יותר בצעצועי AI לילדים. Bondu שומרת היסטוריית שיחות מלאה כדי לשפר את התגובות הבאות, אם כי ללא אודיו (שנמחק אוטומטית). החוקרים מזהירים מפני גישה פנימית רחבה במועסקים, סיסמאות חלשות והדלפות פוטנציאליות. מרגוליס ציין שמידע כזה יכול לשמש למטרות ניצול לרעה, כמו חטיפות, שכן הוא כולל העדפות אישיות שיכולות לשמש לפיתוי ילדים.

לפי הדיווח, Bondu משתמשת בשירותי AI של גוגל ג'מיני ו-OpenAI GPT-5, ומעבירה תוכן שיחות לבדיקות בטיחות. ראפיד הבהיר שהעברה מינימלית, עם בקרות חוזיות, ללא שימוש בנתונים לאימון מודלים. החוקרים חושדים שהפורטל נבנה בכלי AI שיצרו חולשות אבטחה, אך החברה לא הגיבה לכך.

אזהרות נוספות על צעצועי AI התמקדו עד כה בתכנים לא הולמים, כמו הסברים מיניים או עידוד התנהגויות מסוכנות, כפי שדווח ב-NBC. Bondu מציעה פרס של 500 דולר לדיווח על תגובה לא הולמת, וטוענת שאף אחד לא הצליח. אך תאקר מדגיש: 'בטיחות AI לא רלוונטית אם הנתונים חשופים'. המקרה שינה את דעתו על צעצועים כאלה בביתו.

עבור מנהלי עסקים והורים בישראל, המקרה מדגיש את הצורך באבטחת נתוני ילדים במוצרי AI. חברות טכנולוגיה חייבות להטמיע אימות חזק, פיקוח על גישה פנימית ולשקול שיתופי פעולה עם ספקי AI. השאלה היא: האם צעצועי AI שווים את הסיכון לפרטיות הילדים?

בקיצור, הורים צריכים לבדוק פרוטוקולי אבטחה לפני רכישה, וחברות – להשקיע באבטחה מראש. מה דעתכם?