Chat & Ask AI, una delle app di intelligenza artificiale più scaricate sugli store Google e Apple con oltre 50 milioni di utenti, ha lasciato esposti centinaia di milioni di messaggi privati a causa di una vulnerabilità nei propri server. Lo rivelano una ricerca indipendente e comunicazioni visionate e pubblicate dalla testata 404 Media.
I dati esposti includono conversazioni sensibili. In alcune gli utenti chiedono all'assistente virtuale istruzioni su come commettere il suicidio. In altre come redigere lettere d'addio. Ancora, come produrre sostanze stupefacenti come la metanfetamina.
La falla scoperta dai ricercatori
La vulnerabilità è stata individuata da un ricercatore di sicurezza indipendente, noto come "Harry”. Uno pseudonimo. Il problema risiede in una errata configurazione di Google Firebase, una piattaforma di sviluppo mobile molto utilizzata. Secondo il ricercatore, il bug permetteva a chiunque di accreditarsi come utente "autenticato" e accedere al backend dell'app, dove risiedevano i dati.
"Harry” ha dichiarato di aver avuto accesso a 300 milioni di messaggi appartenenti a oltre 25 milioni di utenti. E un'analisi su un campione di un milione di messaggi ha rivelato cronologie complete, timestamp, nomi assegnati ai chatbot e i modelli linguistici specifici utilizzati (tra cui ChatGPT di OpenAI, Claude di Anthropic e Gemini di Google).
