Ein Webportal, das für die Kommunikation zwischen Kindern und einem KI-gesteuerten Spielzeug namens Bondu entwickelt wurde, hat eine gravierende Sicherheitslücke aufgezeigt: Chatverläufe zwischen Kindern und dem KI-Partner waren für jedermann mit einem Gmail-Konto zugänglich. Die Plattform, die ursprünglich als sichere Umgebung für Kinder konzipiert war, ermöglichte es Dritten, über eine einfache Web-URL auf die Gespräche zuzugreifen – ohne Anmeldung, Passwort oder Authentifizierung. Nutzer konnten die Chats durch Eingabe einer einzigen, öffentlich zugänglichen Kennung aufrufen, was bedeutete, dass sensible Daten wie Namen, Altersangaben und persönliche Äußerungen von Kindern ohne Schutz waren. Die Sicherheitslücke wurde erstmals von einem Sicherheitsforscher entdeckt, der die Plattform testete und die ungeschützte Zugriffsmöglichkeit dokumentierte. Nachdem die Meldung an den Hersteller, die Firma Bondu, übermittelt wurde, wurde die Schwachstelle innerhalb weniger Stunden behoben. Dennoch blieb die Panik bei Eltern und Datenschutzexperten bestehen, da die Daten bereits über einen längeren Zeitraum ungeschützt waren. Die Plattform hatte sich auf die Sicherheit von Kindern spezialisiert und war als „sichere KI-Kommunikation für Kinder“ beworben, was die Lücke umso schockierender machte. Die technische Ursache lag in einer fehlerhaften Implementierung der Zugriffssteuerung: Anstatt nur den jeweiligen Nutzer oder seine Eltern zu autorisieren, war die Chat-URL öffentlich sichtbar und ohne zusätzliche Sicherheitsmaßnahmen. Zudem fehlte eine automatische Ablaufkontrolle für Sessions, was die Dauer der Exposition verlängerte. Die Entwickler gaben an, dass die Plattform aufgrund des hohen Sicherheitsanspruchs bereits mehrere Sicherheitsprüfungen durchlaufen hatte, doch die fehlende Überprüfung der URL-Authentifizierung blieb unentdeckt. Die Vorfälle haben erneut die Herausforderungen bei der Entwicklung von KI-Produkten für Kinder aufgezeigt. Experten warnen davor, dass selbst anscheinend sorgfältig gestaltete Systeme gravierende Schwächen aufweisen können, wenn Sicherheitsprotokolle nicht systematisch überprüft werden. Datenschutzorganisationen fordern nun strengere Regulierungen für digitale Produkte, die Kinder ansprechen, und die Einhaltung von Standards wie der EU-Datenschutz-Grundverordnung (DSGVO) und der COPPA (Children’s Online Privacy Protection Act) in den USA. Industrieexperten sehen in dem Vorfall ein Beispiel dafür, wie schnell technische Fehler zu schwerwiegenden Datenschutzverletzungen führen können, besonders wenn es um sensible Daten von Minderjährigen geht. Die Firma Bondu hat sich öffentlich entschuldigt und versichert, dass die Daten der betroffenen Kinder nicht missbraucht wurden. Dennoch bleibt die Glaubwürdigkeit der Marke angeschlagen. Der Vorfall unterstreicht die Notwendigkeit von unabhängigen Sicherheitsaudits, vor allem bei Produkten, die Kinder betreffen. Bondu ist ein US-amerikanisches Startup, das KI-gesteuerte Spielzeuge entwickelt, die durch Sprachinteraktion mit Kindern kommunizieren sollen. Die Plattform wurde mit dem Versprechen beworben, kinderfreundlich, sicher und ohne Werbung zu sein. Die aktuelle Lücke hat jedoch die Frage aufgeworfen, ob solche Versprechen tatsächlich umgesetzt werden können – und ob Unternehmen, die auf Vertrauen bauen, ausreichend verantwortungsvoll handeln.