Rusya AI Chatbot Startup tarafından işletilen bir Chroma Veritabanı Jedai’m 500’den fazla Canva içerik oluşturucusundan anket yanıtları sızdırarak çevrimiçi olarak maruz kaldı. Maruz kalan veriler, e -posta adresleri, Canva’nın Yaratıcı programı hakkında geri bildirimler ve bir düzineden fazla ülkedeki tasarımcıların deneyimlerine ilişkin kişisel bilgiler içeriyordu.
Veri maruziyeti, veritabanının kamuya açık erişilebilir olduğunu ve kimlik doğrulamasından yoksun siber güvenlik firması UpGuard tarafından keşfedildi. Veritabanının çoğu jenerik veya genel verileri saklarken, belirli bir koleksiyon göze çarpıyordu: tasarım platformuna küresel bir içerik katkıda bulunan Canva Creators’a verilen ayrıntılı bir ankete yanıtlar içeriyordu.
Anket verileri, telif hakları, kullanıcı deneyimi ve AI benimseme gibi konuları kapsayan 51 soruya 571 benzersiz e -posta adresi ve ayrıntılı yanıtlar içeriyordu. Bazı e -posta adresleri birden çok kez ortaya çıktı, bu da kullanıcıların anketi bir kereden fazla tamamladığını gösterdi.
UpGuard’ın Hackread.com ile Pazartesi günü yayınlanmadan önce paylaşılan raporuna göre, bu olay, Chatbots’un sorgulara yanıt verirken belirli belgelere başvurmasına yardımcı olmak için kullanılan bir teknoloji olan bir Chroma veritabanını içeren ilk bilinen sızıntı.
Estonya’da bir IP adresinde barındırılan veritabanı, AI Chatbot hizmetleri sunan küçük bir Rus şirketi olan Jedai tarafından kontrol ediliyor gibi görünüyordu. Platform kullanıcıları, genellikle çok fazla teknik gözetim olmadan sohbet botlarına güç sağlamak için her türlü belge yükleyebilir.
Bu bağlamda Canva verilerinin varlığı, AI eğitim sistemlerinde veya chatbot arka uçlarında hassas bilgilerin nasıl sonuçlandığı hakkında sorular ortaya koydu. Chroma doğal olarak güvensiz olmasa da, kamuya maruz kalmayı önlemek için uygun yapılandırma gerektirir. Bu durumda, veritabanı internete açık bırakıldı.
Canva, bulgulara hackread’e verilen bir açıklama ile cevap verdi:
“Son zamanlarda, küçük bir Canva içerik oluşturucu grubundan e-posta adresleri ve anket yanıtları içeren bir dosyanın üçüncü taraf bir web sitesine yüklendiğinin farkına vardık. Bilgilerin herhangi bir şekilde Canva hesaplarına veya platform verilerine bağlı olmadığının farkında. Üçüncü taraf sitenin sahip olduğu veritabanının yeterince güvence altına alınmadı, bu da bilgilerin erişilebilir olmasına neden oldu.
“Sorun bize, uzman araçlar kullanarak maruz kalan bilgileri keşfeden, ancak normal internet kullanıcıları tarafından geniş ölçüde erişilemeyen veya popüler arama motorları tarafından dizine eklenen bir güvenlik araştırmacısı tarafından bildirildi. Dosya içeriğinin kaldırıldığını doğruladık ve site günlükleri başkaları tarafından erişilmediğini gösteriyor.”
“Etkilenen içerik oluşturucularla zaten temasa geçtik ve gerektiğinde düzenleyicileri bilgilendirmek de dahil olmak üzere tüm yasal yükümlülüklerimize uyuyoruz. Topluluğumuzun verilerini güvenli ve güvenli tutmak için derinlemesine yatırım yapıyoruz ve bunun tekrar olmasını önlemeye yardımcı olmak için süreçlerimizi inceliyoruz.”
-Canva sözcüsü
Verilerin kötüye kullanıldığına dair bir gösterge olmasa da, uzmanlar, anket içeriği ile birleştirilen sınırlı kişisel bilgilerin bile hedeflenen kimlik avı girişimleri için yararlı olabileceğine dikkat çekiyor. Katılımcılar, profesyonel rolleri, yaratıcı alışkanlıkları ve Canva platformundan memnuniyet, yanlış ellere yerleştirilirse kullanılabilecek bilgiler hakkında bilgi verdiler.
Veritabanı maruz kalan şirket olan Jedai’m Rusya’da kurulan bir mikro merkezli. Kullanıcıların kendi belgeleriyle güçlendirilmiş sohbet botları oluşturmalarına olanak tanır. Şirket, bildirildikten ve açıkta kalan veritabanını UpGuard’ın sosyal yardımından bir gün içinde güvence altına aldıktan sonra hızlandırdı.
Sızıntı, AI teknolojilerinin veri maruz kalma için nasıl yeni, öngörülemeyen kanallar oluşturduğunu göstermektedir. Daha fazla şirket, Chroma’dan müşteriye dönük botları veya iç asistanları güçlendirmek gibi araçları benimsediğinden, verileri bu sistemlere itme baskısı kısayollara ve hatalara yol açabilir.
Bu dava aynı zamanda AI araçlarının dünya çapında ne kadar yaygın olarak kullanıldığını, genellikle beklenmedik şekillerde de vurgulamaktadır. Avustralyalı bir teknoloji devi tarafından anketlerde toplanan veriler, Estonya’daki sunucularda barındırılan küçük bir Rus firması tarafından yönetilen teminatsız bir veritabanında sona erdi. LLM’lerin ve üçüncü taraf chatbot araçlarının artan kullanımı ile veri velayeti için geleneksel sınırların izlenmesi zorlaşıyor.
UpGuard, veritabanındaki belgelerin çoğunun “mistik doktrinler” ve Marie Claire ve Wikihow gibi halka açık web sitelerinden kazınan romantik tavsiyeler de dahil olmak üzere zararsız veya hatta saçma olduğunu belirtti.
Bununla birlikte, dahili sohbet transkriptleri ve kısıtlı dosya paylaşım platformlarına bağlantılar da dahil olmak üzere gerçek dünya kurumsal verilerinin varlığı, daha hassas içeriğin uygun koruma olmadan AI sistemlerine kaymasının ne kadar kolay olduğunu göstermektedir.