AI伴侣应用泄露数百万条私人信息
AI伴侣应用泄露数百万条私人信息
大规模数据泄露事件曝光
网络安全调查人员发现一起严重数据泄露事件,影响了两款知名AI伴侣应用:Chattee Chat - AI Companion和GiMe Chat - AI Companion。此次泄露涉及4300万条私密消息、60多万个媒体文件以及超过40万个账户的敏感用户数据。
漏洞源于用于消息存储的未受保护的Kafka Broker实例。Cybernews研究人员发现这一关键基础设施没有任何身份验证协议,导致所有存储的用户通信内容可被随意访问。
泄露事件如何发生
被曝光的数据包括:
- 用户IP地址
- 设备标识符
- 身份验证令牌
- 与AI伴侣的完整聊天记录
虽然未直接泄露个人身份信息(如姓名或地址),但网络安全专家警告称,恶意行为者可能通过交叉比对暴露的IP和设备ID与其他数据集来识别个人身份。
"这为潜在的骚扰活动创造了完美条件," Cybernews首席调查员Mark Johnson指出,"攻击者可能利用亲密对话细节进行勒索或社会工程攻击。"
财务风险显现
受影响的应用拥有大量用户参与:
- 在苹果娱乐类应用中排名第121位
- 合计下载量超过30万次
- 平均每位用户向其AI伴侣发送了107条消息
调查显示,部分用户在应用内购买上花费高达18,000美元,总收入可能超过100万美元。最令人担忧的是,泄露的身份验证令牌可能让黑客能够:
- 劫持用户账户
- 清空虚拟货币余额
- 进行未经授权的购买
行业反应与警告
Cybernews披露后:
- 开发者立即关闭了存在漏洞的Kafka实例
- 尚未确认是否有恶意行为者在此之前访问了数据
- 安全专家呼吁加强对情感AI应用的监管
该事件凸显了人们对亲密数字空间数据保护日益增长的担忧。斯坦福数字伦理实验室的Emily Chen博士警告说:"用户与这些伴侣分享非常私密的想法。一次泄露不仅仅是数据问题——更是对心理安全的侵犯。"
应用开发者尚未就是否会通知受影响用户或提供赔偿发表评论。
关键点:
- 🔓 未受保护的服务器暴露4300万条消息及媒体文件
- 💰 高消费用户面临财务盗窃风险
- 🆔 设备标识符可能导致用户身份被识别
- 🤖 加强对情感AI应用监管的呼声日益高涨
