Jedna z nejoblíbenějších AI aplikací pro tvorbu videí na Androidu nechala bez zabezpečení miliony uživatelských souborů. Závažná chyba v konfiguraci serveru umožnila komukoli s odkazem přístup k osobním fotografiím, videím i dalším souborům bez jakéhokoli zabezpečení.
Bezpečnostní díra v AI aplikaci
Aplikace Video AI Art Generator & Maker, která slouží k přeměně fotografií a videí pomocí umělé inteligence, trpěla vážnou bezpečnostní chybou. Výzkumníci z webu Cybernews zjistili, že vývojářská společnost Codeway Dijital Hizmetler Anonim Sirketi (registrovaná v Turecku) nezabezpečila cloudové úložiště v prostředí Google Cloud Storage.
Chybějící autentizační mechanismus způsobil, že každý soubor nahraný od spuštění aplikace v červnu 2023 byl volně dostupný veřejnosti. Celkově úložiště obsahovalo přes 8,27 milionu mediálních souborů, což představuje mimořádně závažný únik dat.
Byly vystaveny nejen obrázky a videa
Únik dat se netýká pouze výstupů generovaných umělou inteligencí, ale také původních nahrávek od uživatelů. Konkrétně se jednalo o 1,57 milionu soukromých obrázků, 385 000 osobních videí, dále i 2,87 milionu AI generovaných videí, 2,87 milionu obrázků a více než 386 000 zvukových stop. Tato data mohou obsahovat citlivé osobní informace, které mohou být zneužity například k vydírání, phishingovým útokům nebo tvorbě deepfake obsahu.
Zdroj: GPT
Zajímavé je, že samotná aplikace ve svých zásadách ochrany osobních údajů uvádí, že sdílené informace nemusí být 100% bezpečné a mohou být přístupné neoprávněným osobám. Tato formulace ale zřejmě nebude stačit k naplnění požadavků evropské směrnice GDPR, která vyžaduje „ověřitelná a materiální“ opatření k ochraně uživatelských dat.
Opakovaný problém u stejného vývojáře
Tohle však není první případ, kdy došlo k úniku dat u aplikací od společnosti Codeway. Již dříve objevil nezávislý bezpečnostní expert chybnou konfiguraci u jiné aplikace stejného vývojáře Chat & Ask AI. V tomto případě se podařilo získat přístup k databázi obsahující přibližně 300 milionů zpráv od více než 25 milionů uživatelů.
Jak se mohou uživatelé chránit?
Bezpečnostní odborníci doporučují následující preventivní kroky pro každého, kdo používá aplikace s AI funkcionalitou. Mezi ně patří pravidelná kontrola oprávnění aplikací, zejména přístup k médiím a cloudovým úložištím. Rovněž se doporučuje nevkládat do těchto nástrojů osobní nebo citlivé materiály, pokud není zaručeno silné šifrování a transparentní zacházení s daty. Uživatelé by také měli zvážit použití aplikací, které nabízejí end-to-end šifrování, a sledujte recenze i bezpečnostní hodnocení jednotlivých aplikací.
Co hrozí postiženým uživatelům?
V důsledku tohoto úniku mohou být uživatelé vystaveni phishingovým útokům – na základě uniklých osobních informací, krádeži identity při kombinaci s dalšími úniky dat. Hrozí zde i zneužití videí a fotografií pro deepfake obsah což může mít osobní, ale i reputační dopady. Doporučujeme vždy pečlivě zvážit do jaké aplikace, nebo služby vkládáte své fotografie, videa a další osobní obsah. Jak je patrné, ne každý vývojář dbá na to, aby vaše data nemohla být vystavena komukoliv na internetu.
Zdroj: techdigest.tv