← AI War Room
Cybersécurité

Millions de Messages de Chat IA Exposés dans une Fuite de Données d'Application – Chat & Ask AI Concerné

Tech4B2B · · 2 min (mis à jour le )
Illustration : Millions de Messages de Chat IA Exposés dans une Fuite de Données d'Application – Chat & Ask AI Concerné
  • Sujet: Millions de Messages de Chat IA Exposés dans une Fuite de Données d'Application – Chat & Ask AI Concerné
  • Date:
L'application mobile populaire Chat & Ask AI (50+ millions d'utilisateurs sur Google Play/App Store) a exposé centaines de millions de conversations privées avec des chatbots IA via une base de données Google Firebase mal configurée, révélant des prompts hautement sensibles comme

Détails Précis de la Fuite

Découverte par le chercheur indépendant Harry, la vulnérabilité Firebase permettait un accès authentifié non autorisé à ~300 millions de messages liés à 25 millions d'utilisateurs. Analyse d'un échantillon (60 000 users, 1M+ messages) confirme :

  • Historiques complets de chats IA.
  • Timestamps et configurations modèles (OpenAI ChatGPT, Anthropic Claude, Google Gemini).
  • Noms custom donnés aux chatbots.
  • Prompts sensibles : "Comment tuer sans douleur", notes suicide, recettes meth, tutoriels hack apps.

L'app agit comme wrapper vers modèles tiers, mais stocke elle-même les données sans chiffrement/anonymisation adéquate.

Causes Techniques et Chaîne d'Exposition

Misconfiguration Firebase : Backend public accessible sans auth forte ; logs de débogage exposés en production. Codeway (éditeur app) n'a pas répondu aux demandes commentaires.

Risques : Données scrapées pour phishing ciblé, chantage (santé mentale), vente dark web ; utilisateurs traitent IA comme thérapeutes/journals privés.

Réponse et Vérification

Chercheur Harry a alerté Codeway ; base takedown post-découverte. Pas de preuve vol massif à date, mais données potentiellement archivées.

Mesures de Protection Détaillées (CyberGuy)

  1. Évitez sujets sensibles : Pas infos personnelles/médicales/financières en prompts IA.
  2. Vérifiez apps : Privacy policy claire, opérateur fiable, pas sign-in Google/Apple pour IA.
  3. Limitez stockage : Supprimez historiques, désactivez sync si possible.
  4. Permissions : Bloquez accès inutiles ; utilisez services data removal (scan HIBP).
  5. Alternatives : Private deployments (Azure OpenAI) ou pros (thérapeutes) pour sensible.

Contexte et Implications Stratégiques

Incident met en lumière risques shadow AI : employés/apps bypassent sécurité IT. Firebase misconfigs = vulnérabilité connue Shodan ; aligné GDPR/AI Act audits high-risk Q2 2026. CyberGuy : « IA chat = miroir données sensibles ; fuites inévitables sans privacy-by-design ».

Développeurs tiers négligent souvent retention (30j défaut OpenAI) ; incident accélère régulation logs IA EU.

Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.