Независимый исследователь в области безопасности обнаружил серьезную утечку данных, затронувшую Chat & Ask AI, одно из самых популярных приложений для чата с искусственным интеллектом в Google Play и Apple App Store, имеющее более 50 миллионов пользователей.
Исследователь утверждает, что получил доступ к 300 миллионам сообщений от более чем 25 миллионов пользователей из-за утечки базы данных. Сообщается, что эти сообщения, среди прочего, включали обсуждения незаконных действий и просьбы о помощи в самоубийстве.
За кулисами Chat & Ask AI представляет собой «оберточную» приложение, которое подключается к различным крупным языковым моделям (LLM) других компаний, включая ChatGPT от OpenAI, Claude от Anthropic и Gemini от Google. Пользователи могут выбрать, с какой моделью они хотят взаимодействовать.
Среди утечке подверглись файлы пользователей, содержащие всю историю чатов, используемые модели и другие настройки. Но также были раскрыты данные пользователей других приложений, разработанных Codeway — разработчиком Chat & Ask AI.
Уязвимость, лежащая в основе этой утечки данных, является хорошо известной и задокументированной ошибкой конфигурации Firebase. Firebase — это облачная платформа «бэкенд как услуга» (BaaS), предоставляемая Google, которая помогает разработчикам создавать, управлять и масштабировать мобильные и веб-приложения.
Исследователи в области безопасности часто ссылаются на ряд предотвратимых ошибок, допускаемых разработчиками при настройке сервисов Google Firebase, в результате которых бэкэнд-данные, базы данных и хранилища становятся доступными для общественности без аутентификации.
Одной из наиболее распространенных ошибок настройки Firebase является оставление правил безопасности в общедоступном режиме. Это позволяет любому, кто имеет URL-адрес проекта, читать, изменять или удалять данные без аутентификации.
Это побудило исследователя создать инструмент, который автоматически сканирует приложения в Google Play и Apple App Store на наличие этой уязвимости — с поразительными результатами. Сообщается, что исследователь по имени Гарри обнаружил, что 103 из 200 просканированных iOS имели эту проблему, в результате чего были раскрыты десятки миллионов сохраненных файлов.
Чтобы привлечь внимание к этой проблеме, Гарри создал веб-сайт, на котором пользователи могут увидеть приложения, затронутые этой проблемой. Приложения Codeway больше не отображаются на этом сайте, так как Гарри удаляет записи, как только разработчики подтверждают, что проблема устранена. Сообщается, что Codeway устранила эту проблему во всех своих приложениях в течение нескольких часов после ответственного раскрытия информации.
Как оставаться в безопасности
Помимо проверки, не фигурируют ли какие-либо из используемых вами приложений вреестре Harry’s Firehound , существует несколько способов лучше защитить свою конфиденциальность при использовании чат-ботов с искусственным интеллектом.
- Используйте частные чат-боты, которые не используют ваши данные для обучения модели.
- Не полагайтесь на чат-ботов при принятии важных жизненных решений. У них нет опыта и эмпатии.
- Не используйте свою настоящую личность при обсуждении деликатных тем.
- Сохраняйте анонимность при обмене информацией. Не используйте настоящие имена и не загружайте личные документы.
- Не делитесь своими разговорами, если это не является абсолютно необходимым. В некоторых случаях это делает их доступными для поиска.
- Если вы используете ИИ, разработанный компанией, владеющей социальной сетью (Meta AI, Llama, Grok, Bard, Gemini и т. д.), убедитесь, что вы не вошли в эту социальную сеть. Ваши разговоры могут быть связаны с вашей учетной записью в социальной сети, которая может содержать много личной информации.
Всегда помните, что развитие искусственного интеллекта происходит слишком быстро, чтобы безопасность и конфиденциальность могли быть встроены в технологию. И что даже лучшие ИИ все еще страдают галлюцинациями.
Мы не просто сообщаем о конфиденциальности - мы предлагаем вам воспользоваться ею.
Риски Privacy не должны выходить за рамки заголовка. Сохраняйте конфиденциальность в Интернете с помощью Malwarebytes Privacy VPN.
