Kerentanan Portal Bondu Ekspos Transkrip Obrolan Anak via Akun Gmail

Sebuah kerentanan serius pada portal web yang terafiliasi dengan mainan AI interaktif "Bondu" telah menyebabkan transkrip obrolan anak-anak dapat diakses secara publik. Temuan ini menunjukkan bahwa siapa pun dengan akun Gmail dapat melihat percakapan sensitif, membuka potensi penyalahgunaan data pribadi anak-anak secara luas.

Insiden ini menyoroti risiko yang melekat pada perangkat terhubung internet, khususnya yang dirancang untuk anak-anak. Mainan AI seperti Bondu sering kali mengumpulkan dan menyimpan data interaksi untuk personalisasi dan peningkatan layanan. Portal web yang dimaksud berfungsi sebagai antarmuka manajemen, tempat orang tua seharusnya dapat meninjau atau mengelola interaksi anak mereka. Kerentanan yang ditemukan kemungkinan besar berasal dari konfigurasi kontrol akses yang salah, di mana mekanisme otentikasi berbasis Gmail gagal menerapkan batasan hak akses yang tepat, memungkinkan akses lintas pengguna tanpa otorisasi. Praktik ini bertentangan dengan prinsip privasi data yang ketat, terutama untuk data anak di bawah umur yang diatur oleh undang-undang seperti COPPA di AS atau GDPR di Eropa.

Dampak dari kerentanan ini sangat besar, terutama terhadap kepercayaan orang tua pada produk teknologi anak-anak. Insiden ini menjadi pengingat keras bagi produsen mainan AI dan perangkat IoT lainnya tentang pentingnya keamanan siber yang komprehensif dan privasi data sejak tahap desain. Kegagalan dalam melindungi data pengguna, terutama anak-anak, tidak hanya merusak reputasi merek tetapi juga dapat menimbulkan konsekuensi hukum yang serius berupa denda dan penyelidikan regulator. Industri teknologi harus memperketat standar keamanan, melakukan audit independen, dan memastikan implementasi otentikasi serta otorisasi yang berlapis untuk melindungi informasi sensitif pengguna dari akses yang tidak sah.