Cybernews, iki yapay zeka yardımcı uygulamasının, Chattee Chat ve GiMe Chat’in 400.000’den fazla kullanıcıdan gelen milyonlarca samimi konuşmayı nasıl açığa çıkardığını keşfetti.
Bu, yapay zeka “kız arkadaşlarının” sırlarını ifşa ettiğine dair yazmak zorunda kaldığımız ilk sefer değil ve muhtemelen son da olmayacak. Bu son olay, her geliştiricinin kullanıcı gizliliğini ciddiye almadığının bir hatırlatıcısıdır.
Bu, yetenekli bir yaklaşım gerektiren karmaşık bir hack değildi. Tek gereken, korumasız hizmetleri nasıl arayacağınızı bilmekti. Araştırmacılar, herkese açık ve korumasız bir akış ve içerik dağıtım sistemi buldu: Kafka Broker örneği.
Bunu gizli postaları saklayan ve dağıtan bir postane gibi düşünün. Şimdi, yöneticinin ön kapıları hiçbir kilit, koruma veya kimlik kontrolü olmadan tamamen açık bıraktığını hayal edin. Herkes içeri girebilir, özel mektuplara ve fotoğraflara bakabilir ve gözüne çarpan her şeyi alabilir.
İki yapay zeka uygulamasında da olan buydu. “Postane” (Kafka Broker) internette kilitsiz (kimlik doğrulama veya erişim kontrolü olmadan) açık bırakıldı. Adresini bilen herkes her özel mesajı, fotoğrafı ve kullanıcıların yaptığı satın alma işlemlerini girip görebiliyordu.
Kafka aracısı örneği, Android ve iOS’ta bulunan iki uygulama için gerçek zamanlı veri akışlarını işliyordu: Chattee Chat – AI Yardımcısı Ve GiMe Sohbet – Yapay Zeka Yardımcısı.
Açığa çıkan veriler 400.000’den fazla kişiye aitti ve 43 milyon mesaj ile 600.000’den fazla resim ve video içeriyordu. Araştırmacılar, yapay zeka modelleriyle paylaşılan ve oluşturulan içeriğin çalışma ortamına (NSFW) uygun olmadığını tespit etti.
Uygulamalardan biri olan Chattee, çoğunluğu ABD’de olmak üzere 300.000’den fazla indirmeyle özellikle popülerdi. Her iki uygulama da Hong Kong merkezli bir geliştirici olan Imagime Interactive Limited tarafından geliştirildi, ancak yalnızca Chattee önemli bir popülerlik kazandı.
Uygulamalar adları veya e-posta adreslerini açıklamasa da, saldırganların kullanıcıları tanımlamak için önceki ihlallerden elde edilen verilerle birleştirebileceği IP adreslerini ve benzersiz cihaz tanımlayıcılarını açığa çıkardı.
Araştırmacılar şu sonuca vardı:
“Kullanıcılar, AI yardımcılarıyla yapılan görüşmelerin iddia edildiği kadar özel olmayabileceğinin farkında olmalıdır. Bu tür uygulamaları barındıran şirketler, sistemlerini gerektiği gibi koruyamayabilir. Bu, özel mesajları ve paylaşılan diğer verileri, finansal kazanç için herhangi bir uygun fırsattan yararlanan kötü niyetli aktörlere karşı savunmasız bırakır.”
Burada bulduğu bilgileri seks şantajı için kullanabileceği bir şeye dönüştürmek için diğer ihlallerden gelen verilere erişimi olan dahi bir siber suçluya gerek yok.
Bilgilerin gösterdiği bir diğer şey ise geliştiricinin uygulamalardan elde ettiği gelirin 1 milyon doları aşması. Keşke o doların birkaçını güvenliğe harcasalardı. Kafka Broker örneğinin güvenliğini sağlamak teknik olarak zor veya özellikle maliyetli değildir. Uygun güvenliğin ayarlanması büyük satın almalar değil, çoğunlukla yapılandırma değişiklikleri gerektirir.
Bunun gibi sızıntılar tacize, itibarın zedelenmesine, mali dolandırıcılığa ve güveni kötüye kullanılan kullanıcılara yönelik hedefli saldırılara yol açabilir; bu da mutlu müşteriler anlamına gelmez.
Veri ihlali sonrasında kendinizi koruma
Sızıntı, araştırmacıların sorumlu bir şekilde ifşa etmesinden sonra kapatıldı, ancak ifşayı ilk öğrenenlerin onlar olacağı garantisi yok. Bir veri ihlalinin kurbanı olduğunuzu düşünüyorsanız kendinizi korumak için atabileceğiniz adımlar şunlardır:
- Satıcının tavsiyelerini kontrol edin. Her ihlal farklıdır, bu nedenle ne olduğunu öğrenmek için satıcıyla görüşün ve sunduğu özel tavsiyelere uyun.
- Şifrenizi değiştirin. Çalınan bir şifreyi değiştirerek hırsızların işine yaramaz hale getirebilirsiniz. Başka hiçbir şey için kullanmadığınız güçlü bir şifre seçin. Daha da iyisi, bir şifre yöneticisinin sizin için bir şifre seçmesine izin verin.
- İki faktörlü kimlik doğrulamayı etkinleştirin (2FA). Yapabiliyorsanız ikinci faktör olarak FIDO2 uyumlu bir donanım anahtarı, dizüstü bilgisayar veya telefon kullanın. 2FA’nın bazı biçimleri, parola kadar kolay bir şekilde kimlik avına tabi tutulabilir, ancak FIDO2 cihazına dayanan 2FA’da kimlik avı gerçekleştirilemez.
- Sahte satıcılara dikkat edin. Hırsızlar satıcı kılığına girerek sizinle iletişime geçebilir. Mağdurlarla iletişim kurup kurmadığını görmek için şirketin web sitesini kontrol edin ve farklı bir iletişim kanalı kullanarak sizinle iletişime geçen herkesin kimliğini doğrulayın.
- Acele etmeyin. Kimlik avı saldırıları genellikle tanıdığınız kişileri veya markaları taklit eder ve kaçırılan teslimatlar, hesapların askıya alınması ve güvenlik uyarıları gibi acil müdahale gerektiren temaları kullanır.
- Kart bilgilerinizi saklamamayı düşünün. Sitelerin kart ayrıntılarınızı hatırlamasına izin vermek kesinlikle daha kullanışlıdır ancak bu bilgilerin web sitelerinde saklanmamasını önemle tavsiye ederiz.
- Kimlik izlemeyi ayarlamakişisel bilgilerinizin yasa dışı olarak çevrimiçi olarak alınıp satıldığı tespit edilirse sizi uyarır ve daha sonra kurtarmanıza yardımcı olur.
Yalnızca tehditleri rapor etmiyoruz; tüm dijital kimliğinizin korunmasına yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun.