Серьезная утечка данных с участием двух сопутствующих приложений искусственного интеллекта, Chattee Chat и GiMe Chat, привела к раскрытию более 43 миллионов личных сообщений. Инцидент, обнаруженный исследовательской группой кибербезопасности Cybernews, также привел к утечке более 600 000 изображений и видео, что подчеркивает уязвимости безопасности, возникающие, когда пользователи доверяют личное взаимодействие платформам искусственного интеллекта. Разработчиком приложений является гонконгская компания Imagime Interactive Limited. 28 августа 2025 года исследователи Cybernews обнаружили общедоступный сервер Kafka Broker, которым управляет Imagime Interactive Limited. Сервер остался без какой-либо защиты, то есть на нем не было требований аутентификации или контроля доступа. Отсутствие безопасности позволяло любому получить доступ к содержащимся в нем данным. Сервер активно транслировал разговоры между пользователями и их ИИ-компаньонами в режиме реального времени. Открытые данные включали не только текстовые сообщения, но и прямые ссылки на личные фотографии, видео и изображения, созданные искусственным интеллектом, которыми обменивались в приложениях. Исследователи описали часть раскрытого контента как «практически небезопасную для работы», указывая на интимный и конфиденциальный характер утекшей информации. Нарушение затронуло в общей сложности 400 000 пользователей на платформах iOS и Android. По данным расследования, примерно две трети раскрытых данных поступили от пользователей iOS, а оставшаяся треть — от пользователей устройств Android. Большинство людей, пострадавших от утечки, проживали в США. Хотя утечка данных не включала полные имена или адреса электронной почты, она содержала другие важные идентификаторы, включая IP-адреса пользователей и уникальные идентификаторы устройств. Эту информацию можно сопоставлять с другими источниками данных для отслеживания и потенциальной идентификации отдельных лиц. Анализ показал, что пользователи отправили своим ИИ-партнерам в среднем по 107 сообщений. Эта деятельность создала значительный цифровой след для каждого пользователя, содержащий личные мысли и взаимодействия, которые можно было использовать в злонамеренных целях, таких как кража личных данных, целенаправленное преследование или шантаж. Расследование также выявило финансовые детали. Журналы покупок, включенные в представленные данные, показали, что некоторые пользователи тратили значительные суммы денег на приложения, причем индивидуальные расходы достигали 18 000 долларов на взаимодействие со своими ИИ-компаньонами. По оценкам, разработчик заработал более 1 миллиона долларов дохода от этих приложений до того, как была обнаружена утечка данных. В своей политике конфиденциальности Imagime Interactive Limited заявила, что безопасность пользователей имеет «первостепенное значение». Однако полное отсутствие мер аутентификации на сервере прямо противоречит этому утверждению, свидетельствуя о критической неспособности реализовать базовые меры безопасности для конфиденциальных пользовательских данных. Обнаружив уязвимость, Cybernews незамедлительно сообщил о проблеме в Imagime Interactive Limited. В середине сентября незащищенный сервер был отключен от сети. До удаления сервер был включен в общедоступные поисковые системы IoT, которые представляют собой платформы, индексирующие устройства, подключенные к Интернету. Его присутствие в этих поисковых системах сделало его легко доступным для обнаружения киберпреступниками, активно ищущими уязвимые системы. Остается неясным, получил ли какой-либо злоумышленник доступ к скомпрометированным данным до того, как сервер был защищен. Потенциал причинения вреда сохраняется, поскольку любые загруженные разговоры и изображения по-прежнему могут быть использованы для содействия мошенничеству с секс-вымогательством, фишинговым атакам или нанести значительный репутационный ущерб пострадавшим пользователям. В ответ на взлом эксперты по кибербезопасности дали пользователям несколько советов по защите своих данных при использовании приложений искусственного интеллекта.
- Подумайте, прежде чем поделиться: Пользователям следует избегать отправки личного или конфиденциального контента через приложения чата с искусственным интеллектом. Как только данные становятся общими, контроль над ними фактически теряется.
- Используйте надежные инструменты искусственного интеллекта: Рекомендуется выбирать приложения от разработчиков с прозрачной политикой конфиденциальности и проверенным опытом применения строгих мер безопасности.
- Удалите свои данные онлайн: Использование службы удаления данных может помочь удалить личную информацию из общедоступных баз данных. Хотя это и не полное решение, оно может ограничить информацию, доступную мошенникам.
- Укрепите свою кибербезопасность с помощью мощного антивирусного программного обеспечения: Установка надежного антивирусного программного обеспечения обеспечивает уровень защиты, блокируя мошенничество, обнаруживая вторжения и предупреждая пользователей о попытках фишинга.
- Защитите свои учетные записи с помощью менеджера паролей и MFA: Использование менеджера паролей для создания надежных и уникальных паролей и включение многофакторной аутентификации (MFA) являются важными шагами для предотвращения несанкционированного доступа к учетной записи.
Эта утечка данных служит напоминанием о том, что приложения чата с искусственным интеллектом хранят огромное количество очень конфиденциальных данных. Когда эти данные будут скомпрометированы, это может привести к серьезным последствиям, включая шантаж, выдачу себя за другое лицо и общественное недовольство. Этот инцидент подчеркивает необходимость более строгих стандартов безопасности и большей ответственности в растущей отрасли искусственного интеллекта. Для пользователей повышение осведомленности о том, как их данные обрабатываются и защищаются, является важным первым шагом на пути к предотвращению раскрытия личной информации в Интернете.
