• Η εφαρμογή “Video AI Art Generator & Maker” εξέθεσε χωρίς έλεγχο πρόσβασης εικόνες και βίντεο χρηστών.
• Η αιτία αποδίδεται σε λάθος ρύθμιση Google Cloud Storage bucket, με περιεχόμενο που φέρεται να κρατούσε uploads από το 2023.
• Σύμφωνα με τα ευρήματα, εκτέθηκαν πάνω από 1,5 εκατ. εικόνες και περισσότερα από 385.000 βίντεο
Μια Android εφαρμογή που υπόσχεται «κινηματογραφικές» μετατροπές για selfies και βίντεο εξέθεσε στο διαδίκτυο μεγάλο όγκο ιδιωτικού περιεχομένου, επιτρέποντας πρόσβαση χωρίς έλεγχο ταυτότητας.
Η διαρροή αφορά την εφαρμογή “Video AI Art Generator & Maker”, την οποία ερευνητές της Cybernews εντόπισαν να «σερβίρει» αρχεία χρηστών από λάθος ρυθμισμένο χώρο αποθήκευσης στο Google Cloud Storage. Σύμφωνα με τα ευρήματα, εκτέθηκαν πάνω από 1,5 εκατ. εικόνες και περισσότερα από 385.000 βίντεο που είχαν ανεβάσει χρήστες, μαζί με εκατομμύρια media files που παρήγαγε η ίδια η εφαρμογή με AI.
[ads1]
Το πρόβλημα προκλήθηκε από λάθος ρυθμίσεις στο Google Cloud Storage bucket που ήταν δημόσια προσβάσιμο, χωρίς authentication. Επιπλέον, το bucket φέρεται να περιείχε κάθε αρχείο που είχε ανέβει από το λανσάρισμα της εφαρμογής και μετά: η εφαρμογή κυκλοφόρησε στις 13 Ιουνίου 2023, ενώ το παλαιότερο αρχείο που εντοπίστηκε χρονολογείται τρεις ημέρες πριν την κυκλοφορία.
Συνολικά, ο εκτεθειμένος χώρος αποθήκευσης υπολογίζεται ότι φιλοξενούσε περίπου 8,27 εκατ. media files και πάνω από 12TB περιεχομένου. Στα «indexed totals» που αναφέρονται περιλαμβάνονται, μεταξύ άλλων, 2,87 εκατ. AI-generated βίντεο, πάνω από 386.000 AI-generated audio αρχεία, 2,87 εκατ. AI-generated εικόνες, καθώς και τα πρωτότυπα uploads (περισσότερα από 385.000 βίντεο και πάνω από 1,57 εκατ. εικόνες).
Τι σημαίνει πρακτικά για όσους ανεβάζουν υλικό σε AI apps
Το κρίσιμο εδώ είναι ότι τέτοιες εφαρμογές συνήθως αποθηκεύουν παράλληλα το αρχικό upload και το επεξεργασμένο αποτέλεσμα. Αυτό σημαίνει πως υλικό που κάποιος δεν σκόπευε ποτέ να δημοσιεύσει (δοκιμαστικά πλάνα, backstage, οικογενειακά στιγμιότυπα ή σκηνές με ευαίσθητες λεπτομέρειες μέσα στο κάδρο) μπορεί να γίνει προσβάσιμο αν το backend «ανοίξει» κατά λάθος.
Για την εταιρεία πίσω από την εφαρμογή, αναφέρεται ότι ως developer εμφανίζεται η Codeway Dijital Hizmetler Anonim Sirketi (Τουρκία), ενώ κάποια apps του ίδιου «ομίλου» φέρεται να δημοσιεύονται και με άλλη εταιρική οντότητα στα ΗΑΕ. Η Cybernews λέει ότι μετά από επικοινωνία, η πρόσβαση στα δεδομένα «κλείδωσε», χωρίς επίσημο σχόλιο, και παραθέτει χρονολόγιο γνωστοποίησης/διόρθωσης με τελικό κλείσιμο στις 3 Φεβρουαρίου 2026.
Αν χρησιμοποιείς τέτοιες εφαρμογές για φωτογραφίες/βίντεο, η ασφαλής προσέγγιση είναι να θεωρείς κάθε upload ως δυνητικά εκθέσιμο: απόφυγε πλάνα με ευαίσθητες λεπτομέρειες, έλεγξε τι permissions δίνεις, προτίμησε εργαλεία που δουλεύουν τοπικά (on-device) όταν γίνεται και αναζήτησε μέσα στην εφαρμογή επιλογές για διαγραφή uploads/ιστορικού ή και λογαριασμού. Αν υποψιάζεσαι ότι το υλικό σου έχει εκτεθεί, κράτα τεκμηρίωση (ημερομηνίες και στοιχεία) και εξέτασε αναφορά στον πάροχο της εφαρμογής ή/και στις αρμόδιες αρχές προστασίας δεδομένων.
[ads2]
