Transkrip Obrolan Anak AI Bondu Terekspos, Akses Terbuka untuk Pengguna Gmail

Sebuah kerentanan keamanan kritis ditemukan pada portal web mainan AI interaktif Bondu, menyebabkan transkrip obrolan anak-anak terekspos secara publik. Data sensitif ini dapat diakses oleh hampir semua orang yang memiliki akun Gmail, memicu kekhawatiran serius mengenai privasi dan keamanan data pengguna yang seharusnya dilindungi.

Kerentanan ini berpusat pada sistem otentikasi dan otorisasi portal web Bondu yang tidak memadai. Alih-alih membatasi akses ke pemilik akun atau orang tua yang berwenang, sistem tersebut tampaknya mengizinkan tampilan transkrip obrolan berdasarkan identifikasi pengguna yang terhubung melalui akun Gmail, tanpa validasi kepemilikan data yang ketat. Ini menunjukkan adanya kelemahan dalam kontrol akses berbasis peran (Role-Based Access Control) atau otorisasi objek langsung yang aman (Secure Direct Object Reference), di mana setiap pengguna Gmail secara efektif dapat menelusuri data percakapan yang seharusnya bersifat pribadi dan terlindungi. Mainan AI seperti Bondu, yang dirancang untuk berinteraksi dengan anak-anak, sering kali menyimpan riwayat percakapan untuk personalisasi atau pemantauan orang tua, menjadikannya target yang rentan jika tidak diamankan dengan baik.

Insiden ini menyoroti risiko besar privasi yang terkait dengan perangkat dan layanan bertenaga AI yang menargetkan anak-anak. Eksposur transkrip obrolan, yang mungkin berisi informasi pribadi anak-anak, menimbulkan ancaman serius terhadap keamanan digital mereka, termasuk potensi penyalahgunaan data. Bagi industri teknologi, kasus Bondu menjadi pengingat tegas akan pentingnya menerapkan praktik keamanan data yang ketat sejak tahap desain produk (security by design) dan mematuhi regulasi perlindungan data yang ketat seperti GDPR atau COPPA. Kegagalan dalam mengamankan data pengguna, terutama data anak-anak, dapat berujung pada hilangnya kepercayaan konsumen, denda regulasi yang substansial, dan kerusakan reputasi merek yang tidak dapat diperbaiki.