Popüler bir AI resim düzenleme aracı olan Cutout, kullanıcı resimlerini, kullanıcı adlarını ve e-posta adreslerini açığa çıkaran bir veri ihlali yaşadı. Olay, hassas veriler için bulut tabanlı yapay zeka araçlarını kullanmanın risklerinin altını çiziyor.
Web tabanlı bir AI görüntü düzenleme aracı olan Cutout.pro, belirli sorgular kullanılarak istenen kullanıcı adları ve görüntüleri içeren 9 GB değerinde kullanıcı verisini sızdırırken yakalandı.
Keşif, bir bulan Cybernews tarafından yapıldı. ElasticSearch örneğini aç bireysel kullanıcılar ve işletme hesapları dahil olmak üzere kullanıcı adlarına atıfta bulunan 22 milyon günlük girişi içerir.
Ancak, günlük girişleri kopyalar içerdiğinden, etkilenen toplam kullanıcı sayısı belirsizdir. Örnekte ayrıca kullanıcı kredisi sayısı, sanal bir oyun içi para birimi ve oluşturulan görüntülerin depolandığı Amazon S3 klasörlerine bağlantılar hakkında bilgiler de vardı.
Yapay zeka destekli araçların kullanımı hızla arttığı için bu şaşırtıcı gelmemeli. Bu tam olarak büyük başarıdan kaynaklanmaktadır. ChatGPT. Öyle ki Google, adlı kendi AI aracını yayınlamak zorunda kaldı. ozan AI.
Hong Kong tabanlı görsel tasarım platformu, kullanıcıların yapay zeka tabanlı bir uygulama programlama arabirimi (API) kullanarak fotoğrafları manipüle etmesine veya görüntüler oluşturmasına olanak tanır. Bu işlevsellik, şirketin hizmetlerinin üçüncü taraf uygulamalara entegrasyonunu sağlar.
Araştırmacılar tarafından belirtildiği gibi Cutout.pro, 300 milyondan fazla API isteği, 5.000’den fazla uygulama ve web sitesinden saniyede 4.000 istek ve 25.000’den fazla işletmeyle ortaklıklar hakkında kendi bildirdiği istatistiklere sahiptir.
Bu nedenle, sızıntının sonucunda ortaya çıkan etkinin, sızıntıda verileri açığa çıkan müşteriler için yıkıcı olması muhtemeldir. Cybernews’e göre raporekipleri ayrıca açık veritabanında iki resim düzenleme uygulaması buldu: Vivid ve AYAYA.
“Coutout.pro’nun geliştiricileri daha önce verileri yedeklememiş olsaydı, açık örnek yalnızca geçici hizmet reddine değil, aynı zamanda açık örnekte depolanan kalıcı bir veri kaybına da yol açabilirdi. Saldırganlar onu yok edebilirdi.”
Siber Haberler
Düzgün bir şekilde yapılandırılmadığı için açık örnek, tehdit aktörleri tarafından çeşitli şekillerde kullanılmış olabilir. Cybernews ekibi, herkesin CRUD (Oluştur, Oku, Güncelle ve Sil) işlemleri gerçekleştirmiş olabileceğini tahmin etti.
Saldırganlar ilk erişim noktasını veri tabanına girmek, verilerin kontrolünü ele geçirmek ve Cutout.pro’nun API’sinden geçirmek için kullanmış ve böylece şirketin müşterilerine tehlikeli bir tedarik zinciri saldırısı gerçekleştirmiş olabilir.
Yanlış Yapılandırılmış Veritabanları – Gizlilik Tehdidi
Bildiğimiz gibi, yanlış yapılandırılmış veya güvenli olmayan veritabanları, şirketler ve şüphelenmeyen kullanıcılar için büyük bir gizlilik tehdidi haline geldi. 2020’dearaştırmacılar, herhangi bir güvenlik kimlik doğrulaması olmadan 10 milyardan (10.463.315.645) fazla kaydı genel erişime açan 10.000’den fazla güvenli olmayan veritabanı belirledi.
2021’de, açığa çıkan veritabanlarının sayısı 399.200’e yükseldi. 2021’de yanlış yapılandırma nedeniyle en çok veritabanı sızıntısı olan ilk 10 ülke şunları içeriyordu:
- ABD – 93.685 veritabanı
- Çin – 54.764 veritabanı
- Almanya – 11.177 veri tabanı
- Fransa – 9.723 veritabanı
- Hindistan – 6.545 veritabanı
- Singapur – 5.882 veritabanı
- Hong Kong – 5.563 veritabanı
- Rusya – 5.493 veritabanı
- Japonya – 4.427 veritabanı
- İtalya – 4.242 veritabanı
ALAKALI HABERLER
- Yapay Zeka Destekli Araçlar Yaratıcılığı Nasıl Ateşliyor?
- Sağlık Firması ‘Doctors Me’ Hasta Görüntülerini Sızdırdı
- Plastik cerrahi teknoloji firması 100 binden fazla kullanıcının görüntülerini sızdırıyor
- Yeni dolandırıcılık, hukuk firmasını taklit etmek için yapay zeka tarafından oluşturulan görüntüleri kullanıyor
- Göğüs Kanseri Yardım Derneği ABD’li Hastaların Görüntülerini Açığa Çıkardı