涉及两个 AI 配套应用程序 Chattee Chat 和 GiMe Chat 的重大数据泄露事件已暴露了超过 4300 万条私人消息。网络安全研究小组 Cybernews 发现的这一事件还泄露了超过 60 万张图像和视频,凸显了用户将个人交互委托给人工智能平台时存在的安全漏洞。这些应用程序的开发商是香港公司 Imagime Interactive Limited。
2025 年 8 月 28 日,Cybernews 的研究人员发现了由 Imagime Interactive Limited 运营的公开暴露的 Kafka Broker 服务器。服务器没有任何安全保护,这意味着它没有身份验证要求或访问控制。由于缺乏安全性,任何人都可以访问其中包含的数据。服务器正在积极传输用户与其人工智能伙伴之间的实时对话。暴露的数据不仅包括基于文本的消息,还包括应用程序内交换的个人照片、视频和人工智能生成的图像的直接链接。研究人员将一些泄露的内容描述为“对于工作来说几乎不安全”,这表明泄露信息的私密性和敏感性。
此次泄露影响了 iOS 和 Android 平台上总共 40 万用户。调查显示,大约三分之二的泄露数据来自iOS用户,其余三分之一来自Android设备用户。大多数受泄漏影响的人都位于美国。
虽然泄露的数据不包括全名或电子邮件地址,但它确实包含其他重要标识符,包括用户 IP 地址和唯一设备 ID。该信息可以与其他数据源交叉引用,以跟踪并可能识别个人。分析显示,用户平均每人向其人工智能伙伴发送 107 条消息。此活动为每个用户创建了大量的数字足迹,其中包含个人想法和互动,可用于恶意目的,例如身份盗窃、有针对性的骚扰或勒索。
调查还揭露了财务细节。暴露数据中包含的购买日志显示,一些用户在这些应用程序上花费了大量资金,个人与人工智能伴侣互动的支出高达 18,000 美元。据估计,在数据泄露事件被发现之前,开发商已经从这些应用程序中获得了超过 100 万美元的收入。 Imagime Interactive Limited 在其隐私政策中表示,用户安全“至关重要”。然而,服务器上完全没有身份验证措施直接与这一说法相矛盾,揭示了对敏感用户数据实施基本安全保护措施的严重失败。
发现该漏洞后,Cybernews 立即向 Imagime Interactive Limited 报告了该问题。不安全的服务器最终于九月中旬下线。在删除之前,该服务器已列在公共物联网搜索引擎上,这些搜索引擎是索引互联网连接设备的平台。它在这些搜索引擎上的存在使得积极搜索易受攻击系统的网络犯罪分子很容易发现它。目前尚不清楚是否有恶意行为者在服务器受到保护之前访问了受损的数据。潜在的危害仍然存在,因为任何下载的对话和图像仍然可能被用来促进性勒索诈骗、网络钓鱼攻击,或对受影响的用户造成重大声誉损害。
针对此次泄露事件,网络安全专家概述了用户在使用人工智能应用程序时保护数据的几条建议。
- 分享前三思:用户应避免通过 AI 聊天应用发送个人或敏感内容。一旦数据被共享,对数据的控制实际上就会丧失。
- 使用信誉良好的 AI 工具:建议选择具有透明隐私政策且拥有可靠的强大安全措施记录的开发者的应用程序。
- 在线删除数据:使用数据删除服务有助于清除公共数据库中的个人信息。虽然不是一个完整的解决方案,但它可以限制诈骗者可获得的信息。
- 使用强大的防病毒软件增强网络安全:安装信誉良好的防病毒软件可以通过阻止诈骗、检测入侵以及提醒用户网络钓鱼尝试来提供一层防御。
- 使用密码管理器和 MFA 保护您的帐户:使用密码管理器设置强而独特的密码并启用多重身份验证 (MFA) 是防止未经授权的帐户访问的关键步骤。
这次数据泄露提醒人们,人工智能聊天应用程序存储了大量高度敏感的数据。当这些数据泄露时,可能会导致严重的后果,包括勒索、冒充和公开尴尬。该事件凸显了不断发展的人工智能配套行业需要更严格的安全标准和更大的问责制。对于用户而言,了解如何处理和保护其数据是防止个人信息在网上暴露的关键的第一步。
