AI, Bug, Violazioni dei dati, Notizie

Una fuga di dati dall'app di chat AI espone 300 milioni di messaggi relativi a 25 milioni di utenti

di Pieter Arntz | 9 febbraio 2026
dati chat AI esposti

Un ricercatore indipendente nel campo della sicurezza ha scoperto una grave violazione dei dati che ha interessato Chat & Ask AI, una delle app di chat AI più popolari su Google Play e Apple App Store, con oltre 50 milioni di utenti.

Il ricercatore sostiene di aver avuto accesso a 300 milioni di messaggi provenienti da oltre 25 milioni di utenti grazie a un database esposto. Secondo quanto riferito, questi messaggi includevano, tra le altre cose, discussioni su attività illegali e richieste di assistenza per il suicidio.

Dietro le quinte, Chat & Ask AI è un'app "wrapper" che si collega a vari modelli linguistici di grandi dimensioni (LLM) di altre aziende, tra cui ChatGPT di OpenAI, Claude di Anthropic e Gemini di Google. Gli utenti possono scegliere con quale modello interagire.

I dati esposti includevano file utente contenenti l'intera cronologia delle chat, i modelli utilizzati e altre impostazioni. Ma sono stati rivelati anche dati appartenenti agli utenti di altre app sviluppate da Codeway, lo sviluppatore di Chat & Ask AI.

La vulnerabilità alla base di questa violazione dei dati è una configurazione errata di Firebase ben nota e documentata. Firebase è una piattaforma BaaS (Backend-as-a-Service) basata su cloud fornita da Google che aiuta gli sviluppatori a creare, gestire e scalare applicazioni mobili e web.

I ricercatori nel campo della sicurezza fanno spesso riferimento a una serie di errori evitabili commessi dagli sviluppatori nella configurazione dei servizi Google Firebase, che rendono accessibili al pubblico senza autenticazione i dati di backend, i database e i bucket di archiviazione.

Una delle configurazioni errate più comuni di Firebase è lasciare le regole di sicurezza impostate su pubblico. Ciò consente a chiunque disponga dell'URL del progetto di leggere, modificare o eliminare dati senza autenticazione.

Questo ha spinto il ricercatore a creare uno strumento che analizza automaticamente le app su Google Play e Apple App Store alla ricerca di questa vulnerabilità, con risultati sorprendenti. Secondo quanto riferito, il ricercatore, di nome Harry, ha scoperto che 103 delle 200 iOS analizzate presentavano questo problema, esponendo complessivamente decine di milioni di file archiviati. 

Per richiamare l'attenzione sul problema, Harry ha creato un sito web dove gli utenti possono vedere le app interessate dal problema. Le app di Codeway non sono più elencate lì, poiché Harry rimuove le voci una volta che gli sviluppatori confermano di aver risolto il problema. Secondo quanto riferito, Codeway ha risolto il problema in tutte le sue app entro poche ore dalla divulgazione responsabile.

Come stare al sicuro

Oltre a verificare se le app che utilizzi compaiono nelregistro Firehound di Harry, esistono alcuni modi per proteggere meglio la tua privacy quando utilizzi chatbot basati sull'intelligenza artificiale.

  • Utilizza chatbot privati che non utilizzano i tuoi dati per addestrare il modello.
  • Non affidarti ai chatbot per le decisioni importanti della vita. Non hanno esperienza né empatia.
  • Non usare la tua vera identità quando discuti argomenti delicati.
  • Mantieni le informazioni condivise impersonali. Non utilizzare nomi reali e non caricare documenti personali.
  • Non condividere le tue conversazioni a meno che non sia assolutamente necessario. In alcuni casi, ciò le rende ricercabili.
  • Se utilizzi un'intelligenza artificiale sviluppata da un'azienda di social media (Meta AI, Llama, Grok, Bard, Gemini e così via), assicurati di non aver effettuato l'accesso a quella piattaforma social. Le tue conversazioni potrebbero essere collegate al tuo account social, che potrebbe contenere molte informazioni personali.

Ricordate sempre che gli sviluppi nell'ambito dell'intelligenza artificiale procedono troppo rapidamente perché la sicurezza e la privacy possano essere integrate nella tecnologia. E che anche le migliori IA continuano ad avere allucinazioni.

Non ci limitiamo a segnalare la privacy, ma vi offriamo la possibilità di utilizzarla.

I rischi per Privacy non dovrebbero mai andare oltre un titolo di giornale. Mantenete la vostra privacy online utilizzando Malwarebytes Privacy VPN.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

AI
Una mano si abbassa per afferrare un asterisco da una password scritta.

Le password generate dall'intelligenza artificiale rappresentano un rischio per la sicurezza

Febbraio 19, 2026

Le password generate dall'intelligenza artificiale sono "altamente prevedibili" e non sono realmente casuali, rendendole più facili da decifrare per i criminali informatici.

Notizie
Logo Tenga

Il produttore di articoli per l'intimità Tenga ha divulgato i dati dei propri clienti

Febbraio 19, 2026

Un attacco di phishing ai danni di un dipendente di Tenga potrebbe aver compromesso i dati dei clienti statunitensi. I clienti devono prestare attenzione ai tentativi di phishing a sfondo sessuale.

Violazioni dei dati
Logo Betterment

La violazione dei dati di Betterment potrebbe essere più grave di quanto pensassimo

Febbraio 18, 2026

Questa violazione appare ora molto più grave. I dati trapelati includono dettagli personali e finanziari che potrebbero essere utilizzati dai phisher.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe