10月10日曝光的网络安全事件引发广泛关注,安全研究人员发现两大AI社交应用"Chattee Chat"和"GiMe Chat"存在严重的数据泄露漏洞,影响范围超过40万注册用户,大量私密数据和敏感信息被公开曝光。
安全审计报告显示,泄露内容包括4300多万条用户与AI的私密对话记录、60余万份图片视频文件以及完整的应用内购买历史。这些本该受到严密保护的用户数据,由于技术团队的重大配置错误,长期处于无需验证即可随意访问的状态。
调查发现,数据泄露的主要原因是两款应用的Kafka Broker服务器集群完全暴露在公共网络环境中,且未设置任何访问限制措施。这种配置缺陷使得任何人只要获知服务器地址,就能无障浏览其中存储的所有内容,包括用户在Android和iOS设备上产生的所有互动消息、多媒体文件及操作日志。
虽然泄露数据中没有直接包含用户姓名、邮箱等传统个人信息,但却记录了访问IP地址和设备UUID等关键标识信息。安全专家警告称,这些数据具有很强的关联性,不法分子很容易通过与其他泄露数据库进行交叉匹配,最终锁定具体用户的真实身份。
财务数据显示,部分忠实用户在应用内的累计消费金额高达1.8万美元(约12.8万元人民币),开发者总收入预计超过100万美元。更危险的是,泄露数据中包含大量有效身份认证令牌,黑客可以利用这些凭证轻松劫持用户账户,实施资金盗取等后续攻击行为。
