Récemment, le média de cybersécurité Cybernews a révélé un incident choquant de fuite de données utilisateur concernant deux applications populaires d'accompagnement par IA : « Chattee Chat – AI Companion » et « GiMe Chat – AI Companion ». En raison de graves négligences en matière de sécurité des développeurs d'applications, les données privées de plus de 400 000 utilisateurs, 43 millions de messages et plus de 600 000 images et vidéos étaient entièrement exposées aux risques du réseau.

QQ20251011-140720.png

Instance de stockage non protégée : une porte ouverte

Selon l'enquête de Cybernews, la cause de la fuite était un exemple de broker Kafka non protégé, chargé de recevoir et de stocker l'ensemble des messages des utilisateurs. L'équipe de recherche a découvert que cet exemple ne disposait d'aucun contrôle d'accès ou d'authentification, permettant à quiconque obtient le lien d'accéder directement à toutes les données des utilisateurs.

Même si les informations fuites ne contiennent pas d'informations d'identité directes, les adresses IP et les codes uniques d'appareils exposés pourraient être utilisés par des attaquants malveillants pour identifier des utilisateurs spécifiques, entraînant ainsi des chantages ou des harcèlements.

Risques de dépenses importantes et de piratage de comptes

Ces deux applications sont très populaires sur les plateformes Android et iOS. « Chattee Chat » se classait au 121e rang dans le classement « Divertissement » de l'App Store d'Apple, avec une estimation de plus de 300 000 téléchargements. Les données montrent que les utilisateurs interagissent fréquemment, envoyant en moyenne 107 messages par personne à leur partenaire IA.

Sur le plan financier, les recherches ont montré que certains utilisateurs avaient dépensé jusqu'à 18 000 dollars américains en recharge de crypto-monnaie, et le revenu global pourrait dépasser un million de dollars. Plus dangereux encore, les jetons d'authentification fuis ont permis aux pirates d'attaquer les comptes des utilisateurs et de voler des crypto-monnaies, augmentant ainsi les risques financiers des utilisateurs.

Avertissement de l'événement : les applications d'accompagnement par IA nécessitent une régulation renforcée

Au moment où Cybernews a identifié le problème, le développeur a immédiatement fermé l'exemple de broker Kafka concerné. Cependant, les chercheurs ont averti que l'on ne sait pas encore si des pirates ont déjà obtenu ces données avant cela.