Bondu: Daten von 50.000 Kindern durch offene Cloud-Plattform zugänglich

Ein gravierender Sicherheitsfehler beim KI-Spielzeughersteller Bondu legte private Chat-Protokolle zwischen Kindern und ihren Kuscheltieren offen. Die ungeschützten Daten umfassen Namen, Geburtsdaten und intime Familieninformationen – ein Alarmsignal für die gesamte Branche.

Die Sicherheitslücke war so eklatant, dass kein Hacking-Werkzeug nötig war: Forscher entdeckten, dass das Verwaltungsportal des Unternehmens für jedermann mit einem Google-Konto zugänglich war. Mehr als 50.000 sensible Chat-Logs, in denen Kinder ihren plüschigen KI-Gefährten persönlichste Dinge anvertrauten, lagen ungeschützt im Netz. Der Vorfall wirft drängende Fragen zum Datenschutz in der boomenden KI-Spielzeugindustrie auf.

Ein Portal ohne jeden Schutz

Die Sicherheitsforscher Joseph Thacker und Joel Margolis stießen eher zufällig auf den Skandal. Auf Nachfrage eines Nachbarn zur Sicherheit des Bondu-Spielzeugs prüften sie das System – und konnten sich problemlos im Admin-Bereich anmelden. Jede Standard-Gmail-Adresse reichte als Schlüssel für die Datenbank.

Passend zum Thema KI-Sicherheit: Die EU-KI-Verordnung stellt klare Anforderungen an Anbieter von KI-Systemen — besonders wenn diese mit sensiblen personenbezogenen Daten von Kindern arbeiten. Unser kostenloses E-Book fasst Pflichten, Risikoklassen und Dokumentationsanforderungen kompakt zusammen und zeigt, wie Sie Risiken frühzeitig erkennen und Meldepflichten erfüllen. Enthalten sind praktische Checklisten und Umsetzungs-Hinweise für Entwickler und Datenschutzverantwortliche. KI-Verordnung-Leitfaden jetzt gratis herunterladen

Was sie vorfanden, war erschütternd: Vollständige Transkripte der Gespräche, in denen Kinder ihren Teddybären Familiengeheimnisse, Ängste und Vorlieben anvertrauten. Dazu klare personenbezogene Daten wie vollständige Namen und exakte Geburtsdaten. Die Kuscheltiere, die durch intime Dialoge eine Bindung zum Kind aufbauen sollen, waren zur offenen Quelle für neugierige Dritte geworden. Experten sehen darin ein fundamentales Sicherheitsversagen.

Bondu reagiert – doch das Misstrauen bleibt

Nach der Benachrichtigung durch die Forscher handelte Bondu schnell. Das Unternehmen nahm das Portal innerhalb von Minuten offline und brachte es am nächsten Tag mit verbesserten Sicherheitsmaßnahmen wieder ans Netz. CEO Fateen Anam Rafid betonte, das Problem sei innerhalb weniger Stunden behoben worden.

Laut Bondu zeigen Zugriffsprotokolle keine weiteren unbefugten Zugriffe außer denen der Forscher. Doch der Imageschaden ist immens: Dass derart sensible Daten von Kindern so leicht zugänglich waren, untergräbt das Vertrauen in vernetzte Spielzeuge grundlegend. Der Vorfall offenbart ein Muster, bei dem in schnell wachsenden Tech-Branchen die Markteinführung oft vor grundlegenden Sicherheitsstandards kommt.

KI-Spielzeuge: Chronik eines angekündigten Skandals

Der Bondu-Vorfall ist kein Einzelfall, sondern der bisher gravierendste in einer Reihe von Warnungen. Verbraucherschützer und Forschungsgruppen wie Common Sense Media mahnen seit Monaten vor den Risiken KI-gesteuerter Spielzeuge. Diese geben mitunter gefährliche Ratschläge und verwischen für Kinder die Grenze zwischen Realität und künstlicher Intelligenz.

Viele dieser Spielzeuge nutzen leistungsstarke Generative-AI-Modelle von Google oder OpenAI – so auch Bondu. Während die Technologie fesselnde Erlebnisse schafft, sammelt sie auch enorme Datenmengen. Die zentrale Frage lautet: Wo landen diese Daten, wer hat Zugriff, und was passiert, wenn Sicherheit zur Nebensache wird? Die US-Verbraucherorganisation PIRG warnte bereits, KI-Spielzeuge seien eine kaum erprobte Technologie – und fragt, inwieweit Kinder hier als Testpersonen dienen.

Weckruf für eine ganze Industrie

Der Datenskandal dürfte die Aufsichtsbehörden auf den Plan rufen und die gesamte Branche zwingen, ihre Sicherheitsstandards zu überdenken. Experten fordern einen grundlegenden Wandel hin zu „Security by Design“ – also integrierten Schutzmechanismen von der ersten Entwicklungsphase an, nicht als nachträgliche Lösung.

Für Eltern wird der Vorfall zum Weckruf für mehr Vorsicht bei vernetzten Spielzeugen. Der Reiz eines intelligenten, interaktiven Begleiters ist groß. Doch wie dieser Fall zeigt, kann der Preis für die Privatsphäre enorm sein. Die Zukunft der Branche hängt nun davon ab, ob Unternehmen die Sicherheit ihrer jüngsten Nutzer endlich zur obersten Priorität machen.

PS: Seit August 2024 gelten neue KI-Regeln – und Verstöße können Bußgelder, Auflagen und erheblichen Image-Schaden nach sich ziehen. Vorfälle wie bei Bondu zeigen, wie schnell Behörden reagieren können. Holen Sie sich den kompakten Umsetzungsleitfaden zur EU-KI-Verordnung mit konkreten Handlungsschritten, Risikoklassifizierung und Checklisten für die Dokumentation, damit Ihr Produkt rechtssicher eingesetzt werden kann. Jetzt Umsetzungsleitfaden zur KI-Verordnung sichern