Cybernews araştırmacılarına göre, yapay zekâ destekli fotoğraf ve video düzenleme vaat eden bir Android uygulaması, bunun yerine büyük miktarda kullanıcı içeriğini herkese açık şekilde ifşa etti.
Video AI Art Generator & Maker adlı uygulama, Google Play Store üzerinden 500.000’den fazla kez indirildi. Ancak yanlış yapılandırılmış bir Google Cloud Storage alanı nedeniyle kullanıcı verilerini sızdırdı. Kimlik doğrulama gerektirmeyen bu depolama alanı, bağlantıyı bulan herkesin saklanan dosyalara erişebilmesine olanak tanıdı.
Cybernews’in aktardığına göre, açık durumdaki depolama alanında 1,5 milyondan fazla kullanıcı tarafından yüklenmiş görsel ve 385.000’in üzerinde kullanıcı videosu bulunuyordu. Ayrıca yaklaşık 2,87 milyon yapay zekâ üretimi görsel, 2,87 milyon yapay zekâ üretimi video ve 386.000’den fazla yapay zekâ üretimi ses dosyası da depolama alanında yer alıyordu.
Toplamda söz konusu alan, 12 terabayttan fazla veriye karşılık gelen yaklaşık 8,27 milyon medya dosyası barındırıyordu.
Sinematik tarzda yapay zekâ makyajları sunan uygulama, Haziran 2023 ortasında kullanıma sunuldu. Araştırmacılar, depolama alanında uygulamanın lansmanından bu yana yüklenen neredeyse tüm dosyaların bulunduğunu ve en eski dosyaların uygulamanın herkese açılmasından hemen öncesine tarihlendiğini tespit etti.
Veritabanının, Türkiye’de kayıtlı özel bir şirket olan Codeway Dijital Hizmetler Anonim Şirketi ile bağlantılı olduğu iddia edildi. Ancak uygulama, geliştiricinin resmi internet sitesinde yer almıyordu ve Codeway’in Google Play Store profilinde yalnızca sınırlı sayıda başka uygulama bulunuyordu. Cybernews ayrıca şirketle ilişkilendirilen bir başka uygulama olan Chat & Ask AI’nin de daha önce ayrı bir arka uç yapılandırma hatası nedeniyle çok sayıda kullanıcı mesajını ifşa ettiğinin tespit edildiğini belirtiyor.
Cybernews’in Video AI Art Generator & Maker geliştiricileriyle iletişime geçmesinin ardından, açık durumdaki veritabanı kısa süre içinde güvence altına alındı.
Araştırmacılar, “Bu veri sızıntısı, bazı yapay zekâ uygulamalarının ürünleri hızla piyasaya sürmeye öncelik verirken, kullanıcı görselleri ve videolarının depolandığı kritik bulut depolama alanında kimlik doğrulama gibi temel güvenlik önlemlerini devreye almayı atladığını gösteriyor” ifadelerini kullandı.
Araştırmacılar ayrıca birçok yapay zekâ uygulamasının hassas kullanıcı yüklemelerini yapay zekâ üretimi içeriklerle birlikte depoladığını ve sıklıkla API anahtarları ya da parolalar gibi gizli bilgileri doğrudan uygulama koduna gömdüğünü vurguluyor. Cybernews’in analiz ettiği yüzlerce Google Play uygulamasının yaklaşık yüzde 72’sinde benzer güvenlik açıklarının tespit edilmesi, hızla büyüyen yapay zekâ uygulama ekosisteminde kullanıcı verilerinin ne kadar güvenli işlendiğine dair ciddi soru işaretleri doğuruyor.
