详细内容或原文请订阅后点击阅览
AI 聊天应用程序泄露,暴露了与 2500 万用户相关的 3 亿条消息
一名安全研究人员发现了属于 Chat & Ask AI 应用程序的暴露数据库,再次追溯到 Firebase 错误配置。
来源:Malwarebytes Labs 博客一位独立安全研究人员发现了影响 Chat & Ask AI 的重大数据泄露事件,Chat & Ask AI 是 Google Play 和 Apple App Store 上最受欢迎的人工智能聊天应用程序之一,拥有超过 5000 万用户。
研究人员声称,由于数据库暴露,他们已经访问了来自超过 2500 万用户的 3 亿条消息。据报道,这些信息除其他外包括对非法活动的讨论和自杀援助请求。
在幕后,Chat & Ask AI 是一款“包装”应用程序,可插入其他公司的各种大型语言模型 (LLM),包括 OpenAI 的 ChatGPT、Anthropic 的 Claude 和 Google 的 Gemini。用户可以选择他们想要与之交互的模型。
暴露的数据包括包含整个聊天历史记录、使用的模型和其他设置的用户文件。但它也泄露了属于 Chat & Ask AI 开发商 Codeway 开发的其他应用程序用户的数据。
此数据泄露背后的漏洞是众所周知且有记录的 Firebase 错误配置。 Firebase 是 Google 提供的基于云的后端即服务 (BaaS) 平台,可帮助开发人员构建、管理和扩展移动和 Web 应用程序。
安全研究人员经常提到开发人员设置 Google Firebase 服务时出现的一系列可预防的错误,这些错误导致公众无需身份验证即可访问后端数据、数据库和存储桶。
最常见的 Firebase 错误配置之一是将安全规则设置为公开。这允许任何拥有项目 URL 的人无需身份验证即可读取、修改或删除数据。
这促使研究人员创建了一个工具,可以自动扫描 Google Play 和 Apple App Store 上的应用程序是否存在此漏洞,结果令人惊讶。据报道,这位名叫 Harry 的研究人员发现,他们扫描的 200 个 iOS 应用程序中有 103 个存在此问题,总共暴露了数千万个存储文件。