Poważne naruszenie danych z udziałem dwóch aplikacji towarzyszących AI, Chattee Chat i GiMe Chat, ujawniło ponad 43 miliony prywatnych wiadomości. Incydent, wykryty przez grupę badawczą Cybernews, spowodował wyciek ponad 600 000 zdjęć i filmów, co uwypukliło luki w zabezpieczeniach występujące, gdy użytkownicy powierzają osobiste interakcje platformom sztucznej inteligencji. Twórcą aplikacji jest firma Imagime Interactive Limited z siedzibą w Hongkongu. 28 sierpnia 2025 r. badacze z Cybernews zidentyfikowali publicznie ujawniony serwer Kafka Broker obsługiwany przez Imagime Interactive Limited. Serwer pozostawiono bez żadnych zabezpieczeń, co oznacza, że nie miał wymagań dotyczących uwierzytelniania ani kontroli dostępu. Ten brak bezpieczeństwa umożliwił każdemu dostęp do zawartych w nim danych. Serwer aktywnie przesyłał strumieniowo rozmowy w czasie rzeczywistym między użytkownikami a ich towarzyszami AI. Ujawnione dane obejmowały nie tylko wiadomości tekstowe, ale także bezpośrednie linki do osobistych zdjęć, filmów i obrazów generowanych przez sztuczną inteligencję wymienianych w aplikacjach. Badacze opisali niektóre ujawnione treści jako „praktycznie niebezpieczne w pracy”, wskazując na intymny i wrażliwy charakter ujawnionych informacji. Naruszenie dotknęło łącznie 400 000 użytkowników na platformach iOS i Android. Według dochodzenia około dwie trzecie ujawnionych danych pochodziło od użytkowników iOS, a pozostała jedna trzecia pochodziła od użytkowników urządzeń z Androidem. Większość osób dotkniętych wyciekiem znajdowała się w Stanach Zjednoczonych. Chociaż dane, które wyciekły, nie zawierały imion i nazwisk ani adresów e-mail, zawierały inne istotne identyfikatory, w tym adresy IP użytkowników i unikalne identyfikatory urządzeń. Informacje te można powiązać z innymi źródłami danych w celu śledzenia i potencjalnej identyfikacji osób. Analiza wykazała, że użytkownicy wysłali średnio 107 wiadomości do swoich partnerów AI. Działanie to wytworzyło dla każdego użytkownika znaczny ślad cyfrowy, zawierający osobiste przemyślenia i interakcje, które można wykorzystać do złośliwych celów, takich jak kradzież tożsamości, ukierunkowane nękanie lub szantaż. Dochodzenie ujawniło także szczegóły finansowe. Dzienniki zakupów zawarte w ujawnionych danych ujawniły, że niektórzy użytkownicy wydali na aplikacje znaczne sumy pieniędzy, a indywidualne wydatki sięgały nawet 18 000 dolarów na interakcję ze swoimi towarzyszami AI. Szacuje się, że zanim wykryto naruszenie danych, programista zarobił na tych aplikacjach ponad 1 milion dolarów. W swojej polityce prywatności Imagime Interactive Limited stwierdziła, że bezpieczeństwo użytkowników jest „największe znaczenie”. Jednakże całkowity brak środków uwierzytelniających na serwerze bezpośrednio zaprzecza temu twierdzeniu, ujawniając poważny błąd we wdrożeniu podstawowych zabezpieczeń wrażliwych danych użytkownika. Po odkryciu luki firma Cybernews natychmiast zgłosiła problem firmie Imagime Interactive Limited. Niezabezpieczony serwer został ostatecznie wyłączony w połowie września. Przed usunięciem serwer znajdował się w publicznych wyszukiwarkach IoT, czyli platformach indeksujących urządzenia podłączone do Internetu. Jego obecność w tych wyszukiwarkach ułatwiała wykrycie go przez cyberprzestępców aktywnie poszukujących podatnych na ataki systemów. Nie jest jasne, czy jacyś złośliwi uczestnicy uzyskali dostęp do zainfekowanych danych przed zabezpieczeniem serwera. Ryzyko wyrządzenia szkody utrzymuje się, ponieważ wszelkie pobrane rozmowy i obrazy mogą w dalszym ciągu zostać wykorzystane do ułatwienia oszustw związanych z wymuszeniami na tle seksualnym, ataków typu phishing lub spowodować znaczną szkodę w reputacji dotkniętych użytkowników. W odpowiedzi na naruszenie eksperci ds. cyberbezpieczeństwa przedstawili użytkownikom kilka wskazówek, jak chronić swoje dane podczas korzystania z aplikacji AI.
- Pomyśl zanim udostępnisz: Użytkownicy powinni unikać wysyłania treści osobistych lub wrażliwych za pośrednictwem aplikacji do czatowania AI. Po udostępnieniu danych kontrola nad nimi zostaje skutecznie utracona.
- Korzystaj z renomowanych narzędzi AI: Zaleca się wybieranie aplikacji od programistów posiadających przejrzystą politykę prywatności i udokumentowaną historię stosowania silnych środków bezpieczeństwa.
- Usuń swoje dane online: Zatrudnienie usługi usuwania danych może pomóc w usunięciu danych osobowych z publicznych baz danych. Chociaż nie jest to kompletne rozwiązanie, może ograniczyć informacje dostępne dla oszustów.
- Wzmocnij swoje cyberbezpieczeństwo dzięki silnemu oprogramowaniu antywirusowemu: Zainstalowanie renomowanego oprogramowania antywirusowego zapewnia warstwę ochrony, blokując oszustwa, wykrywając włamania i ostrzegając użytkowników o próbach phishingu.
- Chroń swoje konta za pomocą menedżera haseł i usługi MFA: Korzystanie z menedżera haseł do tworzenia silnych, unikalnych haseł i włączanie uwierzytelniania wieloskładnikowego (MFA) to kluczowe kroki zapobiegające nieautoryzowanemu dostępowi do konta.
Ten wyciek danych przypomina, że aplikacje do czatowania oparte na sztucznej inteligencji przechowują ogromne ilości bardzo wrażliwych danych. Naruszenie tych danych może prowadzić do poważnych konsekwencji, w tym szantażu, podszywania się pod inne osoby i publicznego zawstydzenia. Incydent podkreśla potrzebę wprowadzenia silniejszych standardów bezpieczeństwa i większej odpowiedzialności w rozwijającej się branży towarzyszącej sztucznej inteligencji. Dla użytkowników uświadomienie sobie, w jaki sposób ich dane są obsługiwane i chronione, jest kluczowym pierwszym krokiem w kierunku zapobiegania ujawnianiu danych osobowych w Internecie.
Source: Masowe naruszenie aplikacji towarzyszących AI ujawnia 43 miliony prywatnych wiadomości
