En populär AI-driven leksak som låter barn chatta med en digital assistent råkade läcka nästan 50 000 chattar med barn, och många av dem var tillgängliga för alla med en Gmail-adress, rapporterar Wired. Säkerhetsbristen i API-hanteringen gjorde det möjligt att enkelt visa samtalshistoriken utan autentisering eller lösenord.
Enligt rapporten var det möjligt att nå chatthistoriken genom att helt enkelt lägga in ett chatt-ID i en webbadress och öppna den i en webbläsare. Eftersom många av chattloggarna var relaterade till konton som registrerats med barns e-postadresser låg de synliga för obehöriga – inklusive potentiella detaljer om barnens interaktioner, preferenser och uppgifter som lämnats under samtal.
Problemet upptäcktes av säkerhetsforskare som granskade leksakens API-infrastruktur. De fann att databasen saknade grundläggande åtkomstkontroller, vilket gjorde det möjligt att visa chattar utan kontroll av användarbehörighet. Forskarna lyckades också se andra data som användarnamn och e-postadresser kopplade till konton som användes för att logga in i tjänsten.
Tillverkaren av leksaken har inte officiellt kommenterat händelsen i detalj, men enligt Wired ska företaget ha börjat åtgärda bristen efter att problemet blivit känt. Det är ännu oklart om någon extern missbrukat sårbarheten innan den stängdes.