Две мобилни приложения за виртуални ИИ-партньори – Chattee Chat и GiMe Chat – са изложили милиони лични съобщения, над 600 000 изображения и чувствителна информация на повече от 400 000 потребители. Според разследване, разработчикът е оставил публично достъпен Kafka Broker без никакви механизми за удостоверяване и контрол на достъпа.

Изложени интимни разговори и изображения

Откритият Kafka Broker е използван за предаване на реалновремеви съобщения между потребителите и ИИ моделите, включително връзки към снимки и видеа, качени от потребителите, както и генерирани от самите чатботове.

Общият обем на данните включва:

• над 43 милиона съобщения;

• над 600 000 снимки и видеоклипове;

• информация за IP адреси и уникални идентификатори на устройства.

Изследователите подчертават, че почти никакво от съдържанието не е било подходящо за работна среда, тъй като включва интимни разговори и изображения.

„Този тревожен теч показва огромна пропаст между доверието, което потребителите гласуват на подобни приложения, и небрежността на разработчиците по отношение на сигурността,“ коментират експертите от Cybernews.

Данни от хиляди потребители и липса на защита

И двете приложения – Chattee Chat – AI Companion и GiMe Chat – AI Companion – са налични за Android и iOS. Изследователите са установили, че 66,3% от изтеклите данни принадлежат на потребители на iOS, а останалите – на Android.

В хода на проверката приложението Chattee е било премахнато от Google Play Store, като разработчикът е насочил потребителите към директно изтегляне на APK файл – практика, която допълнително увеличава рисковете.

Компанията Imagime Interactive Limited, базирана в Хонконг, уверява в своята политика за поверителност, че личните данни са „от първостепенно значение“, но разследването разкрива, че не е имало никаква автентикация или контрол на достъпа.

„Всеки, който е разполагал с линка, е можел да разгледа съобщения и изображения, изпращани и получавани от потребителите,“ посочват изследователите.

Финансови данни и рискове за потребителите

Въпреки че изтеклите файлове не съдържат имена или имейл адреси, включените IP адреси и уникални идентификатори могат да бъдат комбинирани с други изтичания и да се използват за идентифициране на реални лица.

Данните показват, че някои потребители са похарчили до 18 000 долара за виртуални покупки, като общите приходи на разработчика вероятно надхвърлят 1 милион долара.

Изследователите предупреждават, че подобна информация може да се използва за:

• сексторшън кампании;

• фишинг атаки;

• психологически или репутационен натиск върху жертвите.

„Връзването на употребата на приложение за ИИ-партньор с реална идентичност може да има сериозни последици за психичното здраве, личния живот и сигурността на хората,“ предупреждава екипът на Cybernews.

Повтарящ се проблем с Kafka конфигурациите

Течът се дължи на лоши оперативни практики и грешна конфигурация на Kafka Broker – технология, често използвана за поточна обработка на данни. Подобни случаи вече са били откривани при:

• бразилския здравен гигант Unimed,

• турски услуги за доставка на храна,

• родителското приложение KidSecurity,

• и някои плъгини за Shopify.

Администраторите често оставят системите в режим по подразбиране, без активирани функции за удостоверяване и без ограничаване на достъпа по IP адреси.

Случаят с Chattee Chat и GiMe Chat подчертава колко крехко е понякога доверието между потребителите и разработчиците на приложения, базирани на ИИ. Въпреки обещанията за поверителност, липсата на базови мерки за сигурност може да изложи на риск не само лични данни, но и живота и психичното здраве на реални хора.