Deine KI-Freundin plaudert alle deine Geheimnisse aus
Ein riesiges Datenleck bei zwei Apps legt Millionen intimster Nachrichten offen und zeigt die dunkle Seite der KI-Begleiter.
Wie sicher sind die Geheimnisse, die man einer künstlichen Intelligenz anvertraut? Ein massives Datenleck bei zwei KI-Companion-Apps beantwortet diese Frage auf alarmierende Weise. Über 400.000 Nutzer sind betroffen, deren private Konversationen und Bilder ungeschützt im Internet zugänglich waren. Der Vorfall offenbart gravierende Mängel in der IT-Sicherheit der Anbieter.
Das Ausmaß des offenen Datenstroms
Sicherheitsforscher entdeckten eine ungeschützte Datenbank der Apps "Chattee Chat" und "GiMe Chat". Diese enthielt mehr als 43 Millionen private Nachrichten zwischen Nutzern und ihren KI-Begleitern. Zusätzlich lagen über 600.000 Bilder offen, die von Nutzern hochgeladen oder von der KI generiert wurden. Die intimen Inhalte waren für jeden mit dem richtigen Link frei einsehbar.
Die betroffenen Anwendungen werden von einem Entwickler aus Hongkong betrieben. Die Analyse der Daten zeigt, dass ein Großteil der betroffenen Nutzer die iOS-Versionen der Apps verwendete. Der Vorfall verdeutlicht die Risiken, die bei der Nutzung von Diensten entstehen, die tief persönliche Interaktionen verarbeiten.
Fehlende Sicherheit als Ursache
Die technische Ursache für das Leck war ein fehlerhaft konfiguriertes Datensystem. Die sogenannte Kafka-Broker-Instanz speicherte den gesamten Nachrichtenverkehr ohne jegliche Zugriffskontrolle. Es fehlten grundlegende Authentifizierungsmechanismen wie Passwörter. Solche Fehler entstehen oft, wenn Entwickler Standardeinstellungen übernehmen, um die Entwicklung zu beschleunigen.
Administratoren versäumen dabei, wichtige Sicherheitsfunktionen zu aktivieren. Sie schränken den Zugriff nicht auf bestimmte IP-Adressen ein. Dadurch stand die Tür zur gesamten Kommunikationsinfrastruktur der Apps weit offen. Der Server war bereits von Suchmaschinen für vernetzte Geräte erfasst worden, was das Auffinden für Angreifer erleichterte.
Die Gefahr der Deanonymisierung
Obwohl keine direkten Namen oder E-Mail-Adressen durchsickerten, sind die Nutzer nicht anonym. Die Daten enthalten IP-Adressen und eindeutige Geräte-IDs. Diese Informationen lassen sich mit Daten aus anderen Lecks kombinieren, um die Identität von Personen festzustellen. Das Risiko für Betroffene ist somit erheblich.
Die Untersuchung zeigte zudem, wie viel Geld Nutzer in diese Apps investieren. Einige gaben tausende von Dollar für In-App-Käufe aus. Der Entwickler reagierte auf die Meldung der Sicherheitsforscher und schloss die Lücke. Es bleibt jedoch unklar, ob Dritte bereits auf die sensiblen Daten zugegriffen haben.
