Мобильное приложение Chat & Ask AI, пользующееся популярностью у более чем 50 миллионов пользователей в магазинах Google Play и Apple App Store, оказалось источником серьезной утечки данных. Согласно заявлению независимого специалиста по безопасности, сотни миллионов приватных диалогов с чат-ботами были случайно обнародованы в интернете.
Обнаруженная уязвимость и объем утечки
Исследователь безопасности по имени Гарри обнаружил, что приложение использует неправильно настроенную инфраструктуру на базе Google Firebase, что позволило злоумышленникам легко получить доступ к базе данных. В результате ему удалось просмотреть примерно 300 миллионов сообщений, связанных с более чем 25 миллионами пользователей. Для подтверждения масштаба утечки был проведен анализ выборки из 60 000 пользователей и более одного миллиона сообщений.
Что именно было раскрыто?
В числе данных, которые оказались доступны злоумышленникам:
- Деликатные личные запросы, включая обращения о самоповреждении, написании суицидальных заметок, способах изготовления наркотиков и хакерских приемах.
Важно подчеркнуть, что речь идет о полном историях чатов, связанных с реальными пользователями, а не о случайных или анонимных сообщениях.
Технология и уязвимость
Приложение Chat & Ask AI не является самостоятельной моделью искусственного интеллекта. Оно выступает как интерфейс для общения с крупными языковыми моделями, созданными крупными компаниями, такими как OpenAI, Google или Anthropic. Пользователи могут выбирать между моделями, например, ChatGPT, Claude или Gemini. Однако именно хранилище данных — серверная часть, управляемая этим приложением, — стало причиной утечки. Специалисты по безопасности отмечают, что неправильная настройка Firebase — распространенная и хорошо известная уязвимость, которую легко обнаружить при правильных знаниях.
Реакция и комментарии
На момент публикации в редакцию не поступило официальное заявление от компании Codeway, разработчика приложения Chat & Ask AI.
Почему это важно: риски приватности и безопасности
Многие пользователи считают, что их диалоги с ИИ являются полностью конфиденциальными. Они делятся самыми личными мыслями, переживаниями и секретами, считая, что эти данные надежно защищены. Однако при неправильной организации хранения информации такие разговоры превращаются в ценный ресурс для злоумышленников. Даже без указания имен, история переписок может раскрывать психологическое состояние, незаконные действия, профессиональные секреты и личные связи. После утечки эта информация может быть скопирована, проиндексирована и распространена навсегда.
Как защитить свои данные при использовании ИИ-приложений
Для тех, кто не хочет полностью отказываться от использования подобных сервисов, важно соблюдать правила безопасности:
- Перед отправкой очень личных данных или вопросов, связанных с медициной, финансами или юридическими рисками, изучите, как приложение хранит и защищает ваши разговоры.
- Обратите внимание на репутацию разработчика, длительность присутствия на рынке и прозрачность политики конфиденциальности.
- Помните, что многие приложения ведут логи для диагностики и улучшения моделей, поэтому ваши переписки могут сохраняться даже при отсутствии явных признаков сохранения.
- При использовании входа через Google, Apple или электронную почту есть риск связать историю чатов с вашей реальной личностью. Лучший вариант — избегать привязки к основным аккаунтам.
- Проверьте запрашиваемые приложения разрешения и отключите все лишние доступы. Используйте настройки для удаления истории чатов и отключения синхронизации.
Дополнительные меры защиты личных данных
Ваши персональные сведения, такие как телефон, адрес, дата рождения или социальный номер, легко могут быть найдены через простые поиски в интернете или продажи данных маркетологам. В случае утечки или взлома баз данных эти сведения могут оказаться на черном рынке или использоваться для мошенничества. Защитить себя помогает использование сервисов по удалению личных данных из интернета, что значительно усложняет злоумышленникам возможность найти и использовать ваши сведения.
Рекомендации для повышения конфиденциальности
Несмотря на то, что никакая услуга не гарантирует полного удаления информации, сервисы по удалению данных помогают систематически очищать личные сведения с многочисленных сайтов и баз. Это наиболее эффективный способ снизить риск использования ваших данных злоумышленниками и кибершпионами. Чтобы проверить, есть ли ваши данные в сети, можно пройти бесплатный сканинг на специализированных ресурсах.
Выводы и осторожность
Инцидент с утечкой в Chat & Ask AI демонстрирует, как одна ошибка в настройках может поставить под угрозу конфиденциальность миллионов. Пока стандарты защиты не станут универсальными, важно проявлять бдительность и ограничивать объем информации, которой делитесь в чатах с ИИ. Удобство использования не должно становиться ценой вашей приватности.
Что вы думаете о приватности в ИИ-чатах?
Думали ли вы ранее, что ваши разговоры с искусственным интеллектом полностью защищены? Или этот случай изменил ваше отношение к безопасности данных? Поделитесь своим мнением, написав в комментариях или на сайте.
Алексей "Gadgeteer" Беляев
Ваш персональный техно-стратег и цифровой шерпа в запутанных джунглях современных технологий. Он не только подвергает гаджеты самым суровым испытаниям, но и анализирует невидимые силы, движущие IT-индустрией. Его материалы — это не просто обзоры, а чёткая дорожная карта, которая помогает вам делать осознанный выбор и использовать технологии для улучшения жизни, а не наоборот.