Un ricercatore indipendente nel campo della sicurezza informatica ha messo in luce un’importante violazione dei dati legata all’applicazione Chat & Ask AI. Questo incidente ha coinvolto ben 25 milioni di utenti, esponendoli a un rischio significativo. Chat & Ask AI è tra le app di chat basate sull’intelligenza artificiale più gettonate su Google Play Store e Apple App Store, totalizzando oltre 50 milioni di download.
Dettagli della violazione
Il ricercatore ha avuto modo di accedere a un numero impressionante di messaggi – circa 300 milioni – provenienti da più di 25 milioni di utenti grazie a un database esposto. All’interno di questi messaggi erano presenti informazioni sensibili, tra cui discussioni su attività illecite e richieste di supporto per il suicidio. L’app guadagna popolarità sfruttando modelli linguistici di grandi dimensioni come ChatGPT, Claude e Gemini.
Commenti sulle vulnerabilità
Secondo Malwarebytes, i dati compromessi includevano l’intera cronologia delle chat, i modelli utilizzati e altre impostazioni. Inoltre, sono stati esposti dati appartenenti agli utenti di altre applicazioni sviluppate da Codeway, l’azienda dietro Chat & Ask AI. La causa della violazione è una configurazione errata e nota di Firebase, una piattaforma cloud BaaS (backend-as-a-service) di Google utilizzata per sviluppare, gestire e scalare applicazioni mobili e web.
Come proteggersi da future violazioni
Le violazioni simili a quella di Chat & Ask AI possono capitare anche con altre app di intelligenza artificiale. Per proteggersi, Malwarebytes consiglia di:
- utilizzare chatbot privati che non sfruttano i dati degli utenti per addestrare i loro modelli;
- evitare di affidarsi ai chatbot per decisioni importanti della propria vita;
- adottare un’identità differente per argomenti delicati;
- condividere informazioni in modalità impersonale e non utilizzare nomi reali;
- evitare di caricare documenti privati e non condividere conversazioni per impedirne la ricerca.
- non accedere alla piattaforma social se si utilizza l’AI di un’azienda di social media.
