Una significativa violazione dei dati che ha coinvolto due applicazioni associate all’intelligenza artificiale, Chattee Chat e GiMe Chat, ha esposto oltre 43 milioni di messaggi privati. L’incidente, scoperto dal gruppo di ricerca sulla sicurezza informatica Cybernews, ha fatto trapelare anche più di 600.000 immagini e video, evidenziando le vulnerabilità di sicurezza presenti quando gli utenti affidano le interazioni personali alle piattaforme di intelligenza artificiale. Lo sviluppatore dietro le app è la società con sede a Hong Kong Imagime Interactive Limited.
Il 28 agosto 2025, i ricercatori di Cybernews hanno identificato un server Kafka Broker esposto pubblicamente gestito da Imagime Interactive Limited. Il server è stato lasciato senza alcuna protezione di sicurezza, ovvero senza requisiti di autenticazione o controlli di accesso. Questa mancanza di sicurezza ha permesso a chiunque di accedere ai dati in esso contenuti. Il server trasmetteva attivamente conversazioni in tempo reale tra gli utenti e i loro compagni AI. I dati esposti includevano non solo messaggi di testo ma anche collegamenti diretti a foto personali, video e immagini generate dall’intelligenza artificiale scambiate all’interno delle app. I ricercatori hanno descritto alcuni dei contenuti esposti come “praticamente non sicuri per il lavoro”, indicando la natura intima e sensibile delle informazioni trapelate.
La violazione ha interessato un totale di 400.000 utenti su entrambe le piattaforme iOS e Android. Secondo l’indagine circa due terzi dei dati esposti provenivano da utenti iOS, il restante terzo da utenti di dispositivi Android. La maggior parte delle persone colpite dalla fuga di notizie si trovava negli Stati Uniti.
Sebbene i dati trapelati non includessero nomi completi o indirizzi e-mail, contenevano altri identificatori significativi, inclusi indirizzi IP degli utenti e ID univoci dei dispositivi. Queste informazioni possono essere incrociate con altre fonti di dati per tracciare e potenzialmente identificare gli individui. L’analisi ha mostrato che gli utenti hanno inviato in media 107 messaggi ciascuno ai propri partner AI. Questa attività ha creato un’impronta digitale sostanziale per ciascun utente, contenente pensieri e interazioni personali che potrebbero essere sfruttati per scopi dannosi come furto di identità, molestie mirate o ricatto.
Le indagini hanno portato alla luce anche dettagli finanziari. I registri degli acquisti inclusi nei dati esposti hanno rivelato che alcuni utenti hanno speso notevoli quantità di denaro sulle app, con spese individuali che hanno raggiunto i 18.000 dollari per interagire con i loro compagni di intelligenza artificiale. Si stima che lo sviluppatore avesse guadagnato oltre 1 milione di dollari di entrate da queste applicazioni prima che fosse scoperta la violazione dei dati. Nella sua politica sulla privacy, Imagime Interactive Limited ha affermato che la sicurezza degli utenti è “di fondamentale importanza”. Tuttavia, la completa assenza di misure di autenticazione sul server contraddice direttamente questa affermazione, rivelando un grave fallimento nell’implementazione delle salvaguardie di sicurezza di base per i dati sensibili degli utenti.
Dopo aver scoperto la vulnerabilità, Cybernews ha prontamente segnalato il problema a Imagime Interactive Limited. Il server non protetto è stato infine messo offline a metà settembre. Prima della sua rimozione, il server era elencato nei motori di ricerca IoT pubblici, che sono piattaforme che indicizzano i dispositivi connessi a Internet. La sua presenza su questi motori di ricerca lo ha reso facilmente rilevabile dai criminali informatici che cercano attivamente sistemi vulnerabili. Non è chiaro se eventuali malintenzionati abbiano avuto accesso ai dati compromessi prima che il server fosse protetto. Il rischio di danni persiste, poiché qualsiasi conversazione e immagine scaricata potrebbe comunque essere utilizzata per facilitare truffe di sextortion, attacchi di phishing o causare significativi danni alla reputazione degli utenti interessati.
In risposta alla violazione, gli esperti di sicurezza informatica hanno delineato diversi suggerimenti per gli utenti per proteggere i propri dati quando utilizzano applicazioni IA.
- Pensa prima di condividere: gli utenti dovrebbero evitare di inviare contenuti personali o sensibili tramite le applicazioni di chat AI. Una volta condivisi i dati, il controllo su di essi viene effettivamente perso.
- Utilizza strumenti di intelligenza artificiale affidabili: si consiglia di scegliere applicazioni di sviluppatori con politiche sulla privacy trasparenti e una comprovata esperienza di solide misure di sicurezza.
- Rimuovi i tuoi dati online: l’utilizzo di un servizio di rimozione dati può aiutarti a eliminare le informazioni personali dai database pubblici. Pur non essendo una soluzione completa, può limitare le informazioni a disposizione dei truffatori.
- Rafforza la tua sicurezza informatica con un potente software antivirus: l’installazione di un software antivirus affidabile fornisce un livello di difesa bloccando le truffe, rilevando intrusioni e avvisando gli utenti dei tentativi di phishing.
- Proteggi i tuoi account con un gestore di password e un’autenticazione MFA: l’utilizzo di un gestore di password per password complesse e univoche e l’attivazione dell’autenticazione a più fattori (MFA) sono passaggi fondamentali per impedire l’accesso non autorizzato all’account.
Questa fuga di dati serve a ricordare che le applicazioni di chat AI memorizzano grandi quantità di dati altamente sensibili. Quando questi dati vengono compromessi, ciò può portare a gravi conseguenze, tra cui ricatto, furto d’identità e imbarazzo pubblico. L’incidente sottolinea la necessità di standard di sicurezza più forti e di una maggiore responsabilità all’interno del crescente settore dell’intelligenza artificiale. Per gli utenti, acquisire consapevolezza su come i propri dati vengono gestiti e protetti è un primo passo fondamentale per impedire che le informazioni personali vengano esposte online.
