Indyjski startup WotNot zajmujący się sztuczną inteligencją, który pomaga firmom tworzyć niestandardowe chatboty, ujawnił prawie 350 000 poufnych plików po tym, jak dane te pozostały niezabezpieczone w sieci.
Indyjska firma odpowiedzialna za masywny wyciek danych
Mająca siedzibę w Ahmadabadzie firma WotNot pozostawiła ogromną kolekcję poufnych informacji użytkowników — w tym skany paszportów i dokumentów tożsamości, dokumentację medyczną, życiorysy, plany podróży i inne — niezabezpieczoną w nieprawidłowo skonfigurowanym kontenerze Google Cloud Storage.
Badacze z Cybernews odkryli problem bezpieczeństwa 27 sierpnia 2024 r. Znaleziony kontener Google Cloud Storage przechowywał 346 381 plików — wszystkie dostępne dla każdego w Internecie, bez konieczności podawania hasła.
Brak nawet najbardziej podstawowych zabezpieczeń jest zatrważający, jeśli weźmiemy pod uwagę, że wśród informacji przechowywanych w ogólnodostępnej bazie do przechowywania danych znajdowały się dokumenty, które mogłyby ułatwić cyberprzestępcom popełnienie kradzieży tożsamości.
Cybernews próbował poinformować WotNot o problemie 9 września, wysyłając „wiele wiadomości e-mail z prośbą o pomoc, także na alternatywne adresy e-mail”. Według badaczy, firmie zajęło ponad dwa miesiące usunięcie luki w zabezpieczeniach.
WotNot poinformował Cybernews, że baza była używana przez użytkowników usług w ramach bezpłatnej wersji i że „przyczyną naruszenia było to, że zasady dotyczące pamięci masowej w chmurze zostały zmodyfikowane w celu dostosowania do konkretnego przypadku użycia. Niestety, nie sprawdziliśmy dokładnie jego dostępności, co nieumyślnie spowodowało ujawnienie danych” – brzmi komunikat WotNot.
Groźny wyciek danych
Firma zajmująca się tworzeniem chatbotów AI próbowała zapewnić swoich klientów korporacyjnych, że nie ucierpieli oni z powodu naruszenia bezpieczeństwa:
– Klientom korporacyjnym udostępniamy prywatne instancje, aby zapewnić ścisłe przestrzeganie standardów bezpieczeństwa i zgodności – twierdzi przedstawiciel firmy WotNot.
– Nie powinno mieć znaczenia, czy jesteś użytkownikiem darmowej wersji WotNot, czy organizacją taką jak Merck lub University of California, którą firma wymienia wśród swoich płacących klientów, ponieważ żadna poważna firma nie powinna traktować bezpieczeństwa danych swoich klientów, jako dodatkowo płatnej opcji. Nikt nie zasługuje na to, by jego prywatność była traktowana tak lekkomyślnie. Dlatego najlepiej nigdy nie udostępniaj wrażliwych informacji chatbotowi AI, ponieważ nie możesz być pewien, gdzie mogą być przechowywane lub co może z nimi zrobić właściciel chatbota – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.