Une initiative menée par le laboratoire de recherche en sécurité CovertLabs met actuellement en lumière des milliers d’applications, souvent liées à l’IA, sur l’App Store qui exposent les données des utilisateurs, incluant noms, adresses e-mail et historiques de chat.
Selon les observations de l’utilisateur @vxunderground sur X, le projet Firehound est en train de scanner et d’indexer ces applications problématiques.
Comme l’explique @vxunderground,
C’est une véritable apocalypse des données.
L’OSINT nerd @Harrris0n a créé “Firehound”. Il (ou d’autres, je ne sais pas) a commencé le colossal travail de chasse aux applications mal sécurisées sur l’App Store d’Apple.
À ce jour, 198 applications iOS ont été identifiées comme fuites d’informations sur les utilisateurs. Sans surprise, les premières positions du classement sont occupées par des applications liées à l’IA.
Sur ces 198 applications, 196 exposent des données utilisateurs. L’application “Chat & Ask AI” figure en tête du classement “Most files exposed” et “Most records exposed” de Firehound, ayant compromis plus de 406 millions de dossiers provenant de plus de 18 millions d’utilisateurs.
En plus des listes fournies sur Firehound, @Harris0n a également commenté sur X ses premières découvertes concernant “Chat & Ask AI” :
‼️ ARRÊTEZ D’UTILISER CETTE APPLICATION IMMÉDIATEMENT
Lors d’un scan de sécurité de routine, j’ai découvert une vulnérabilité critique dans l’application « Chat & Ask AI » qui expose l’ensemble de l’historique de chat de plus de 18 millions d’utilisateurs – soit 380 millions de messages, complètement accessibles à quiconque sait où…
La plupart des applications répertoriées sur Firehound semblent exposer des données via des bases de données mal sécurisées ou du stockage cloud, avec une grande partie des annonces révélant des schémas de données sous-jacents et des comptes de dossiers.
Bien que la plupart des applications affectées soient liées à l’IA, les catégories d’applications touchées englobent :
- Éducation
- Divertissement
- Graphisme et design
- Santé et fitness
- Style de vie
- Réseautage social
- Autres
Firehound limite l’accès gratuit aux données et exige l’inscription des utilisateurs pour demander des ensembles de données restreints et des résultats d’analyse détaillés :
Certaines résultats de scans sont hautement sensibles. Jusqu’à ce que nous puissions les examiner et les anonymiser de manière responsable, nous ne pouvons pas publier tout dans son intégralité.
Cela signifie que l’annuaire public est intentionnellement limité. Si vous créez un compte, vous pouvez demander l’accès à des ensembles de données restreints et à des vues spécifiques.
Les demandes d’accès sont examinées manuellement, en accordant la priorité aux journalistes, aux forces de l’ordre et aux professionnels de la sécurité. Une fois connecté, vous serez invité à soumettre une demande depuis votre tableau de bord.
Malgré la déclaration initiale de @vxunderground selon laquelle Firehound cataloguerait les “fuites d’IA”, ces informations ne sont pas directement mentionnées sur le profil X de @Harris0n, ni sur le site de Firehound.
Bien que de nombreuses applications semblent liées à l’IA, il est actuellement impossible de certifier si elles ont été lancées en raison de codage excessif ou d’autres outils de développement assistés par IA.
Firehound rappelle cependant aux utilisateurs de rester vigilants quant aux plateformes utilisées et aux informations partagées, surtout en ce qui concerne les chatbots IA, et aux développeurs de prendre leurs responsabilités pour sécuriser correctement les données des utilisateurs.
