Sztuczna inteligencja, błędy, naruszenia bezpieczeństwa danych, aktualności

Wyciek z aplikacji czatu AI ujawnia 300 milionów wiadomości powiązanych z 25 milionami użytkowników

autor: Pieter Arntz | 9 lutego 2026 r.
ujawnione dane czatu AI

Niezależny badacz ds. bezpieczeństwa odkrył poważne naruszenie bezpieczeństwa danych, które dotknęło Chat & Ask AI, jedną z najpopularniejszych aplikacji do czatowania opartych na sztucznej inteligencji dostępnych w sklepach Google Play i Apple App Store, z ponad 50 milionami użytkowników.

Badacz twierdzi, że uzyskał dostęp do 300 milionów wiadomości od ponad 25 milionów użytkowników dzięki ujawnionej bazie danych. Wiadomości te miały zawierać między innymi dyskusje na temat nielegalnych działań oraz prośby o pomoc w popełnieniu samobójstwa.

Za kulisami Chat & Ask AI jest aplikacją typu „wrapper”, która łączy się z różnymi dużymi modelami językowymi (LLM) innych firm, w tym ChatGPT firmy OpenAI, Claude firmy Anthropic i Gemini firmy Google. Użytkownicy mogą wybrać model, z którym chcą współpracować.

Ujawnione dane obejmowały pliki użytkowników zawierające całą historię czatów, używane modele i inne ustawienia. Ujawniono również dane należące do użytkowników innych aplikacji opracowanych przez Codeway — twórcę Chat & Ask AI.

Luka w zabezpieczeniach, która doprowadziła do naruszenia danych, jest dobrze znaną i udokumentowaną nieprawidłową konfiguracją Firebase. Firebase to oparta na chmurze platforma typu backend-as-a-service (BaaS) dostarczana przez Google, która pomaga programistom tworzyć, zarządzać i skalować aplikacje mobilne i internetowe.

Badacze zajmujący się bezpieczeństwem często odnoszą się do zestawu błędów, których można uniknąć, popełnianych przez programistów podczas konfigurowania usług Google Firebase, które powodują, że dane zaplecza, bazy danych i zasoby pamięci masowej są dostępne publicznie bez konieczności uwierzytelniania.

Jedną z najczęstszych błędnych konfiguracji Firebase jest pozostawienie reguł bezpieczeństwa ustawionych jako publiczne. Dzięki temu każdy, kto posiada adres URL projektu, może odczytywać, modyfikować lub usuwać dane bez uwierzytelniania.

To skłoniło badacza do stworzenia narzędzia, które automatycznie skanuje aplikacje w Google Play i Apple App Store pod kątem tej luki — z zaskakującymi wynikami. Według doniesień badacz o imieniu Harry odkrył, że 103 spośród 200 przeanalizowanych iOS miało tę lukę, co łącznie naraziło na niebezpieczeństwo dziesiątki milionów przechowywanych plików. 

Aby zwrócić uwagę na ten problem, Harry stworzył stronę internetową, na której użytkownicy mogą sprawdzić, które aplikacje są nim dotknięte. Aplikacje Codeway nie są już tam wymienione, ponieważ Harry usuwa wpisy po potwierdzeniu przez programistów, że problem został rozwiązany. Według doniesień firma Codeway rozwiązała ten problem we wszystkich swoich aplikacjach w ciągu kilku godzin od odpowiedzialnego ujawnienia.

Jak zachować bezpieczeństwo

Oprócz sprawdzenia, czy aplikacje, z których korzystasz, pojawiają się wrejestrze Harry'ego Firehounda , istnieje kilka sposobów na lepszą ochronę prywatności podczas korzystania z chatbotów AI.

  • Korzystaj z prywatnych chatbotów, które nie wykorzystują Twoich danych do szkolenia modelu.
  • Nie polegaj na chatbotach przy podejmowaniu ważnych decyzji życiowych. Nie mają one doświadczenia ani empatii.
  • Nie używaj swojej prawdziwej tożsamości podczas rozmów na drażliwe tematy.
  • Udostępniane informacje powinny mieć charakter bezosobowy. Nie należy używać prawdziwych nazwisk ani przesyłać dokumentów osobistych.
  • Nie udostępniaj swoich rozmów, chyba że jest to absolutnie konieczne. W niektórych przypadkach sprawia to, że stają się one możliwe do wyszukania.
  • Jeśli korzystasz ze sztucznej inteligencji opracowanej przez firmę zajmującą się mediami społecznościowymi (Meta AI, Llama, Grok, Bard, Gemini itp.), upewnij się, że nie jesteś zalogowany na tej platformie społecznościowej. Twoje rozmowy mogą być powiązane z Twoim kontem w mediach społecznościowych, które może zawierać wiele danych osobowych.

Zawsze pamiętaj, że rozwój sztucznej inteligencji przebiega zbyt szybko, aby można było w pełni uwzględnić kwestie bezpieczeństwa i prywatności w tej technologii. Nawet najlepsze systemy sztucznej inteligencji nadal mają halucynacje.

Nie tylko informujemy o prywatności - oferujemy możliwość korzystania z niej.

Zagrożenia dla Privacy nigdy nie powinny wykraczać poza nagłówek. Zachowaj swoją prywatność online, korzystając z Malwarebytes Privacy VPN.

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

AI
Ręka sięga w dół, aby chwycić jedną gwiazdkę z zapisanego hasła.

Hasła generowane przez sztuczną inteligencję stanowią zagrożenie dla bezpieczeństwa.

Luty 19, 2026

Hasła generowane przez sztuczną inteligencję są „bardzo przewidywalne” i nie są prawdziwie losowe, co sprawia, że cyberprzestępcy mogą je łatwiej złamać.

Aktualności
Logo Tenga

Producent artykułów intymnych Tenga ujawnił dane klientów

Luty 19, 2026

Atak phishingowy na pracownika firmy Tenga mógł spowodować ujawnienie danych klientów z USA. Klienci powinni uważać na próby phishingu związane z sekstorsją.

Naruszenia danych
Logo Betterment

Wyciek danych Betterment może być poważniejszy, niż sądziliśmy

Luty 18, 2026

Obecnie wydaje się, że naruszenie to ma znacznie poważniejszy charakter. Wyciekające dane zawierają bogate informacje osobiste i finansowe, które mogą zostać wykorzystane przez phisherów.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa