Мобильное приложение Chat & Ask AI, популярное среди пользователей Google Play и Apple App Store с более чем 50 миллионами установок, оказалось источником крупной утечки конфиденциальных данных. Неизвестный исследователь по безопасности обнаружил, что через уязвимость в настройках базы данных было раскрыто сотни миллионов сообщений пользователей, содержащих чувствительную и порой шокирующую информацию.
Детали инцидента и масштаб утечки
Инцидент был выявлен независимым специалистом по безопасности по имени Гарри, который обнаружил неправильную конфигурацию backend-сервиса Google Firebase, используемого приложением. В результате злоумышленники получили несанкционированный доступ к базе данных и смогли скачать около 300 миллионов сообщений, связанных примерно с 25 миллионами пользователей. Гарри проанализировал выборку из 60 тысяч аккаунтов и более одного миллиона сообщений, подтвердив масштаб утечки.
В опубликованном материале указывается, что в открытом доступе оказались сообщения, содержащие личные, психологические и даже опасные запросы, такие как инструкции по суициду, способы изготовления наркотиков или взлома других приложений. Такие данные часто воспринимаются пользователями как личные дневники или терапевтические беседы, что делает утечку особенно тревожной.
Проблема уязвимости и роль приложения
Chat & Ask AI работает как интерфейс для общения с крупными языковыми моделями от компаний OpenAI, Anthropic и Google, такие как ChatGPT, Claude и Gemini. Однако ответственность за хранение данных лежит на самом приложении. В случае Chat & Ask AI, неправильная настройка Firebase позволила злоумышленникам легко получить доступ к миллионам сообщений. Специалисты по кибербезопасности отмечают, что такие ошибки — широко известная уязвимость Firebase, которая легко обнаруживается при наличии определенных знаний.
На момент публикации представители компании Codeway, разработчик приложения, не предоставили комментарии по инциденту.
Последствия и рекомендации по защите данных
Многие пользователи считают, что их разговоры с AI остаются приватными. Однако при неправильной или недостаточной защите такие данные могут стать ценным ресурсом для злоумышленников. Даже без имен, история переписок может раскрывать личные тайны, психологические проблемы или личную информацию. В случае утечки эти данные могут быть скопированы, проиндексированы и распространены навсегда.
Эксперты советуют не доверять полностью обещаниям о конфиденциальности, проверять, как приложения хранят данные и какие меры защиты используют. В случае сомнений, рекомендуется избегать передачи особо чувствительной информации и использовать более надежные сервисы или профессиональные консультации.
Также важно внимательно относиться к разрешениям приложений и избегать привязки аккаунтов к личной или рабочей почте, чтобы снизить риск идентификации. Использование сервисов по удалению личных данных из интернета помогает уменьшить вероятность негативных последствий при возможных утечках и взломах.
В целом, данный инцидент демонстрирует, что даже небольшая ошибка в настройке базы данных может привести к масштабной утечке. Пользователи должны быть осторожны и следить за безопасностью своих данных, особенно при использовании популярных AI-приложений.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты