پژوهشگران امنیت سایبری فاش کردهاند که دو اپلیکیشن هوش مصنوعی با نامهای «Chattee Chat» و «GiMe Chat» میلیونها مکالمه بسیار خصوصی بیش از ۴۰۰ هزار کاربر را بدون هیچگونه محافظتی در دسترس عموم قرار دادهاند.
برخلاف تصورات، این حادثه نتیجه یک حمله پیچیده یا نفوذ سطح بالا نبوده، بلکه تنها ناشی از سهلانگاری در پیکربندی سامانهای بوده که وظیفه مدیریت و انتقال دادهها را داشته است. پژوهشگران «Cybernews» دریافتهاند که سامانه Kafka Broker که برای پردازش دادههای این دو اپلیکیشن استفاده میشده بدون هرگونه احراز هویت یا محدودیت دسترسی در اینترنت رها شده بود.
این آسیبپذیری موجب افشای بیش از ۴۳ میلیون پیام، ۶۰۰ هزار تصویر و ویدیو، و اطلاعاتی چون آدرس آیپی و شناسههای منحصربهفرد دستگاههای کاربران شده است. بخشی از محتوای بهاشتراکگذاشتهشده با این باتها نیز بر اساس بررسی پژوهشگران، غیراخلاقی یا نامناسب برای محیطهای کاری تشخیص داده شده است.
این دو اپلیکیشن توسط شرکت Imagime Interactive Limited مستقر در هنگکنگ توسعه یافتهاند، اما تنها Chattee با بیش از ۳۰۰ هزار بار دانلود (اغلب در ایالات متحده) محبوبیت قابلتوجهی یافته است.
گرچه اطلاعات هویتی چون نام و ایمیل کاربران مستقیما فاش نشده اما ترکیب دادههای فاششده با اطلاعات سایر نشتهای امنیتی پیشین میتواند شناسایی کاربران را برای مهاجمان تسهیل کند. کارشناسان هشدار دادهاند دادههای بهدستآمده از این آسیبپذیری میتواند در سناریوهایی چون «اخاذی جنسی» یا حملات هدفمند مورد سوءاستفاده قرار گیرد.
جالب آنکه توسعهدهنده این اپلیکیشنها تاکنون بیش از یک میلیون دلار درآمدزایی داشته اما از هزینهکرد حداقلی برای ایمنسازی زیرساختهای خود دریغ کرده است؛ در حالیکه ایمنسازی Kafka Broker تنها نیازمند تنظیمات ابتدایی است، نه سرمایهگذاری سنگین.
این افشاگری نمونهای هشداردهنده از سهلانگاریهای رایج در توسعه اپلیکیشنهای مبتنی بر هوش مصنوعی است؛ جایی که کاربران تصور میکنند در محیطی امن در حال گفتوگو با "همدم مجازی" خود هستند اما دادههایشان بیدفاع در معرض دید قرار گرفته است.
پژوهشگران اعلام کردهاند پس از اطلاعرسانی مسئولانه، آسیبپذیری مذکور بسته شده؛ اما مشخص نیست چه تعداد افراد پیش از آن به دادهها دسترسی یافتهاند.
توضیحات بیشتر:
Millions of (very) private chats exposed by two AI companion apps