Um investigador de segurança independente descobriu uma grande violação de dados que afetou o Chat & Ask AI, um dos aplicativos de chat com IA mais populares no Google Play e na Apple App Store, com mais de 50 milhões de utilizadores.
O investigador afirma ter acedido a 300 milhões de mensagens de mais de 25 milhões de utilizadores devido a uma base de dados exposta. Estas mensagens incluíam, entre outras coisas, discussões sobre atividades ilegais e pedidos de ajuda para cometer suicídio.
Nos bastidores, o Chat & Ask AI é um aplicativo «wrapper» que se conecta a vários modelos de linguagem grandes (LLMs) de outras empresas, incluindo o ChatGPT da OpenAI, o Claude da Anthropic e o Gemini do Google. Os utilizadores podem escolher com qual modelo desejam interagir.
Os dados expostos incluíam ficheiros de utilizadores contendo todo o seu histórico de conversas, os modelos utilizados e outras configurações. Mas também revelaram dados pertencentes a utilizadores de outras aplicações desenvolvidas pela Codeway, a empresa desenvolvedora do Chat & Ask AI.
A vulnerabilidade por trás desta violação de dados é uma configuração incorreta bem conhecida e documentada do Firebase. O Firebase é uma plataforma de backend como serviço (BaaS) baseada na nuvem fornecida pelo Google que ajuda os programadores a criar, gerir e dimensionar aplicações móveis e web.
Os investigadores de segurança frequentemente referem-se a um conjunto de erros evitáveis na forma como os programadores configuram os serviços do Google Firebase, que deixam os dados de back-end, bases de dados e buckets de armazenamento acessíveis ao público sem autenticação.
Uma das configurações incorretas mais comuns do Firebase é deixar as regras de segurança definidas como públicas. Isso permite que qualquer pessoa com o URL do projeto leia, modifique ou exclua dados sem autenticação.
Isso levou o investigador a criar uma ferramenta que verifica automaticamente as aplicações no Google Play e na Apple App Store em busca dessa vulnerabilidade — com resultados surpreendentes. Segundo relatos, o investigador, chamado Harry, descobriu que 103 das 200 iOS verificadas apresentavam esse problema, expondo coletivamente dezenas de milhões de ficheiros armazenados.
Para chamar a atenção para o problema, Harry criou um site onde os utilizadores podem ver as aplicações afetadas pelo problema. As aplicações da Codeway já não estão listadas nesse site, pois Harry remove as entradas assim que os programadores confirmam que corrigiram o problema. A Codeway teria resolvido o problema em todas as suas aplicações poucas horas após a divulgação responsável.
Como se manter seguro
Além de verificar se algum dos aplicativos que você usa aparece noregisto Firehound do Harry, existem algumas maneiras de proteger melhor a sua privacidade ao usar chatbots com IA.
- Use chatbots privados que não utilizam os seus dados para treinar o modelo.
- Não confie em chatbots para tomar decisões importantes na vida. Eles não têm experiência nem empatia.
- Não use a sua identidade real ao discutir assuntos delicados.
- Mantenha as informações partilhadas impessoais. Não utilize nomes reais e não carregue documentos pessoais.
- Não partilhe as suas conversas, a menos que seja absolutamente necessário. Em alguns casos, isso torna-as pesquisáveis.
- Se estiver a utilizar uma IA desenvolvida por uma empresa de redes sociais (Meta AI, Llama, Grok, Bard, Gemini, etc.), certifique-se de que não está conectado à plataforma de rede social. As suas conversas podem ser associadas à sua conta de rede social, que pode conter muitas informações pessoais.
Lembre-se sempre de que os avanços na IA estão a ocorrer muito rapidamente para que a segurança e a privacidade possam ser incorporadas à tecnologia. E que mesmo as melhores IAs ainda apresentam falhas.
Não nos limitamos a informar sobre a privacidade - oferecemos-lhe a opção de a utilizar.
Os riscos para Privacy nunca devem ir além de uma manchete. Mantenha a sua privacidade online utilizando o Malwarebytes Privacy VPN.
