Khoảng 300 triệu tin nhắn của 25 triệu người dùng đã bị rò rỉ từ ứng dụng “Chat & Ask AI”. Đây là app phổ biến trên Google Play và App Store, cho phép trò chuyện với các mô hình như ChatGPT, Claude và Gemini. Không có cuộc tấn công phức tạp nào được ghi nhận. Một nhà nghiên cứu bảo mật phát hiện cơ sở dữ liệu Google Firebase của ứng dụng bị đặt ở chế độ truy cập công khai do cấu hình sai.
Cụ thể, cơ sở dữ liệu Firebase được mặc định ở chế độ an toàn, các nhà phát triển đã đặt ra các quy tắc để kiểm soát quyền truy cập. Tuy nhiên, các quy tắc này đã khiến cơ sở dữ liệu bị đặt ở chế độ công khai khiến bất kỳ ai có tài khoản đăng nhập Firebase đơn giản đều có thể đóng vai trò là người dùng “đã xác thực” và đọc toàn bộ cơ sở dữ liệu phía máy chủ.
Theo các chuyên gia an ninh mạng, các dữ liệu bị lộ bao gồm toàn bộ lịch sử trò chuyện, thời gian gửi tin, cài đặt tài khoản và tên chatbot do người dùng tự đặt. Không có mật khẩu hay thông tin tài chính bị rò rỉ. Tuy nhiên nội dung tin nhắn lại mang tính riêng tư cao vì nhiều người xem AI như nơi tâm sự cá nhân. Chỉ một dòng thiết lập sai cũng đủ khiến dữ liệu của hàng triệu người dùng bị truy cập trái phép.
Sau khi được cảnh báo, nhà phát triển đã khóa quyền truy cập và siết lại cấu hình hệ thống. Các chuyên gia khuyến nghị người dùng không nên chia sẻ thông tin nhạy cảm trên các ứng dụng AI bên thứ ba khi chưa hiểu rõ cách dữ liệu được lưu trữ và bảo vệ. Trước khi sử dụng, cần kiểm tra kỹ chính sách quyền riêng tư, đánh giá mức độ minh bạch của đơn vị vận hành và ưu tiên các nền tảng chính thức cho những cuộc trò chuyện quan trọng.
