Um pesquisador de segurança independente descobriu uma grande violação de dados que afetou o Chat & Ask AI, um dos aplicativos de chat com IA mais populares no Google Play e na Apple App Store, com mais de 50 milhões de usuários.
O pesquisador afirma ter acessado 300 milhões de mensagens de mais de 25 milhões de usuários devido a um banco de dados exposto. Essas mensagens supostamente incluíam, entre outras coisas, discussões sobre atividades ilegais e pedidos de ajuda para cometer suicídio.
Nos bastidores, o Chat & Ask AI é um aplicativo “wrapper” que se conecta a vários modelos de linguagem grandes (LLMs) de outras empresas, incluindo o ChatGPT da OpenAI, o Claude da Anthropic e o Gemini do Google. Os usuários podem escolher com qual modelo desejam interagir.
Os dados expostos incluíam arquivos de usuários contendo todo o histórico de bate-papos, os modelos utilizados e outras configurações. Mas também revelaram dados pertencentes a usuários de outros aplicativos desenvolvidos pela Codeway, desenvolvedora do Chat & Ask AI.
A vulnerabilidade por trás dessa violação de dados é uma configuração incorreta do Firebase bem conhecida e documentada. O Firebase é uma plataforma de backend como serviço (BaaS) baseada em nuvem fornecida pelo Google que ajuda os desenvolvedores a criar, gerenciar e dimensionar aplicativos móveis e web.
Os pesquisadores de segurança frequentemente se referem a um conjunto de erros evitáveis na forma como os desenvolvedores configuram os serviços do Google Firebase, que deixam dados de back-end, bancos de dados e buckets de armazenamento acessíveis ao público sem autenticação.
Uma das configurações incorretas mais comuns do Firebase é deixar as regras de segurança definidas como públicas. Isso permite que qualquer pessoa com a URL do projeto leia, modifique ou exclua dados sem autenticação.
Isso levou o pesquisador a criar uma ferramenta que verifica automaticamente os aplicativos no Google Play e na Apple App Store em busca dessa vulnerabilidade, com resultados surpreendentes. Segundo relatos, o pesquisador, chamado Harry, descobriu que 103 dos 200 iOS verificados apresentavam esse problema, expondo coletivamente dezenas de milhões de arquivos armazenados.
Para chamar a atenção para o problema, Harry criou um site onde os usuários podem ver os aplicativos afetados pela falha. Os aplicativos da Codeway não estão mais listados lá, pois Harry remove as entradas assim que os desenvolvedores confirmam que corrigiram o problema. A Codeway teria resolvido o problema em todos os seus aplicativos poucas horas após a divulgação responsável.
Como se manter seguro
Além de verificar se algum aplicativo que você usa aparece noregistro Harry’s Firehound , existem algumas maneiras de proteger melhor sua privacidade ao usar chatbots com IA.
- Use chatbots privados que não utilizam seus dados para treinar o modelo.
- Não confie em chatbots para decisões importantes na vida. Eles não têm experiência nem empatia.
- Não use sua identidade real ao discutir assuntos delicados.
- Mantenha as informações compartilhadas impessoais. Não use nomes reais e não envie documentos pessoais.
- Não compartilhe suas conversas, a menos que seja absolutamente necessário. Em alguns casos, isso as torna pesquisáveis.
- Se você estiver usando uma IA desenvolvida por uma empresa de mídia social (Meta AI, Llama, Grok, Bard, Gemini, etc.), certifique-se de não estar conectado a essa plataforma de mídia social. Suas conversas podem ser vinculadas à sua conta de mídia social, que pode conter muitas informações pessoais.
Lembre-se sempre de que os avanços na IA estão ocorrendo muito rapidamente para que a segurança e a privacidade possam ser incorporadas à tecnologia. E que mesmo as melhores IAs ainda apresentam falhas.
Não nos limitamos a informar sobre privacidade - oferecemos a você a opção de usá-la.
Os riscos Privacy nunca devem ir além de uma manchete. Mantenha sua privacidade on-line usando o Malwarebytes Privacy VPN.
