تطبيق ذكاء اصطناعي لنظام أندرويد يعرض ملايين الملفات الشخصية للخطر في السحابة

  • كشف تطبيق ذكاء اصطناعي لنظام أندرويد عن 12 تيرابايت من صور المستخدمين ومقاطع الفيديو والملفات الصوتية بسبب خلل في خدمة التخزين السحابي من جوجل
  • تم تسريب أكثر من 1,57 مليون صورة تم تحميلها، وملايين الإبداعات التي تم إنشاؤها بواسطة الذكاء الاصطناعي، ومئات الآلاف من مقاطع الفيديو والصوت.
  • يواجه المطور، الذي لديه تاريخ من خرق كبير آخر في تطبيق Chat & Ask AI الخاص به، عقوبات محتملة بموجب اللائحة العامة لحماية البيانات الأوروبية (GDPR).
  • يحذر الخبراء من أن التقييمات الجيدة على متجر جوجل بلاي لا تضمن الأمن أو الخصوصية.
Tablet Zona

8 دقيقة

تطبيق ذكاء اصطناعي يعاني من ثغرة أمنية

شائع تطبيق ذكاء اصطناعي لنظام أندرويد كشف ثغرة أمنية في نظام الحوسبة السحابية عن كمية هائلة من المحتوى الخاص بالمستخدمين. فقد قام التطبيق، المتخصص في تحويل صور السيلفي ومقاطع الفيديو إلى أعمال فنية باستخدام الذكاء الاصطناعي، بتخزين ملايين الملفات الشخصية دون حماية كافية، مما جعلها متاحة لأي شخص يملك الرابط الصحيح.

يشير البحث، الذي نشره متخصصون في الأمن السيبراني، إلى سوء تكوين في بنية تحتية لـ جوجل سحابة التخزين يستخدمها النظام الأساسي. وبسبب هذا الخلل التقني، لم يتطلب الحاوية التي تم تخزين محتوى الوسائط المتعددة فيها مصادقة، مما فتح الباب أمام عرض الملفات وتنزيلها دون أي رقابة أو قيود.

تسبب عطل في خدمة الحوسبة السحابية في كشف 12 تيرابايت من المحتوى الخاص

يكمن جوهر المشكلة في حاوية تخزين جوجل كلاود مهيأة بشكل خاطئكان من المفترض أن يكون هذا المستودع السحابي، الذي يستخدمه تطبيق الفيديو والصور المدعوم بالذكاء الاصطناعي والمعروف باسم Video AI Art Generator & Maker، محميًا بسياسات وصول مقيدة ولكنه كان مفتوحًا عمليًا، مما يسمح بالوصول السهل للغاية إلى محتوياته.

وفقًا للبيانات التي جمعها الباحثون، فإن حجم التسرب ملحوظ: إذ تشير التقديرات إلى أن حوالي 12 تيرابايت من الملفات ينتمي إلى مستخدمين من جميع أنحاء العالم. لم تكن النتائج التي تم إنشاؤها بواسطة الذكاء الاصطناعي فحسب، بل شملت أيضًا مواد أصلية قام المستخدمون أنفسهم بتحميلها إلى المنصة للمعالجة.

تتضمن المعلومات المعروضة 1,57 مليون صورة التحميلات التي يقوم بها العملاء مباشرة، بالإضافة إلى بعض 385.000 ألف مقطع فيديو الأصول. إلى هذا تمت إضافتها حول 2,87 مليون صورة تم إنشاؤها باستخدام خوارزميات الذكاء الاصطناعي وعدد مماثل من مقاطع الفيديو التي يتم إنشاؤها تلقائيًا بواسطة النظام، بالإضافة إلى بعض 386.000 ملف صوتي مرتبط بالمشاريع التي تمت معالجتها.

كل تلك المواد، التي كان من المفترض أن تبقى تحت إجراءات حماية صارمة، يمكن الوصول إليه بدون كلمة مروروهذا ما جعلها هدفاً جذاباً بشكل خاص لكل من الأفراد الفضوليين والمجرمين الإلكترونيين المحتملين المهتمين باستغلال المعلومات لأغراض خبيثة.

حقق التطبيق حضوراً بارزاً في Google Playتجاوز عدد مرات تحميل التطبيق بسهولة نصف مليون مرة، وحصد تقييمات إيجابية لسهولة استخدامه ونتائجه الجمالية المذهلة. ومع ذلك، تُظهر هذه الحادثة أن... تقييم جيد في متجر التطبيقات لا يكفي ضمان أن البيانات الشخصية للمستخدمين آمنة حقًا.

مطور برامج له تاريخ في اختراقات البيانات الضخمة

الشركة التي تقف وراء مولد وصانع فنون الفيديو بالذكاء الاصطناعي هي كودواي ديجيتال هيزمتلر أنونيم سيركيتي، ومقرها الرئيسي في تركيا، والتي تدير جزءًا من أعمالها الدولية من خلال الشركة خدمات برمجيات ديب فلو ذ.م.م. يقع مقرها في الإمارات العربية المتحدة. وهذه ليست أول انتكاسة كبيرة تواجهها المجموعة في مسائل حماية البيانات.

قبل فترة، كان أحد تطبيقاتها الأخرى، الدردشة والسؤال مع الذكاء الاصطناعي، وقد سبق له أن قام ببطولة كشف خطير للمعلومات الخاصة بسبب خلل في تكوين قاعدة البيانات في جوجل فايربيس. في هذه الحالة، سمح هذا الخلل بالوصول غير المقيد إلى أكثر من 300 مليون رسالة تم استبدالها بحوالي 25 مليون مستخدممما أدى إلى كشف محادثات كان ينبغي أن تبقى سرية للغاية.

يشير تكرار الحوادث إلى أوجه القصور الهيكلية في الممارسات الأمنية من شركة التطوير، بدءًا من تحديد بنية الحوسبة السحابية الخاصة بها وحتى إجراء عمليات تدقيق منتظمة واختبارات اختراق لاكتشاف حالات الفشل قبل أن تصبح أخبارًا.

بالنسبة للمستخدمين الأوروبيين، لا تثير هذه الأنواع من الحوادث مخاوف تتعلق بالخصوصية فحسب، بل تُفعّل أيضًا إطار عمل اللائحة العامة لحماية البيانات (GDPR)يفرض هذا النظام الصادر عن الاتحاد الأوروبي التزامات صارمة للغاية على أولئك الذين يعالجون البيانات الشخصية للمقيمين في أوروبا، مع عقوبات قد تصل إلى 20 مليون يورو أو 4% من حجم المبيعات العالمي، اعتمادًا على خطورة الخرق.

إذا تأكد تأثر مواطني دول الاتحاد الأوروبي، فقد تفتح سلطات حماية البيانات تحقيقاً. تحقيقات رسمية ضد الشركةتقييم ما إذا كانت هناك أسس قانونية كافية للمعالجة، وما إذا تم تطبيق تدابير فنية وتنظيمية كافية، وما إذا تم الإبلاغ عن الخرق في غضون المهل الزمنية المنصوص عليها في القانون.

ردود فعل الشركة وشكوكها بشأن إدارة الأزمة

بعد أن أبلغ متخصصو الأمن السيبراني مطور التطبيق بالثغرة الأمنية، وبعد عدة محاولات للتواصل، قامت الشركة أخيرًا... إغلاق الوصول العام إلى حاوية السحابةوبهذه الطريقة، تم حظر العرض المباشر للملفات التي كانت متاحة لفترة زمنية غير محددة.

لكن في الوقت الراهن لم يصدر أي بيان مفصل يتعين على الشركة تقديم شرح شفاف لما حدث، وتحديد مدة التعرض للاختراق، والإجراءات التي اتخذتها لمنع وقوع حادث مماثل في المستقبل. كما أنه من غير المعروف ما إذا تم إبلاغ المستخدمين المتضررين المحتملين بشكل استباقي، وهو جانب أساسي من الإدارة المسؤولة لأي خرق أمني.

هذا الغموض يترك العديد من الأسئلة دون إجابة: فمن غير المعروف ما إذا كانت جهات خارجية قد وصلت قم بتنزيل المحتوى المُصفّى دفعة واحدة، إذا تم اكتشاف استخدامها على منصات أخرى عبر الإنترنت، أو إذا كانت هناك مؤشرات على الابتزاز أو التهديد أو سرقة الهوية التي تستغل المواد المكشوفة.

يؤكد الخبراء الذين تمت استشارتهم على أنه في الحالات التي يتم فيها تخزينها صور ومقاطع فيديو حميمة أو شخصية للغايةقد يكون خطر الضرر النفسي والمعنوي الذي يلحق بالضحايا مرتفعًا، حتى في حال عدم وجود سرقة مالية مباشرة. لذا، تبرز أهمية أن توفر الشركات مستوى حماية مماثلاً لمستوى الحماية الذي توفره البنوك أو مقدمو الرعاية الصحية لهذه الأنواع من الخدمات.

وفي السياق الأوروبي، ينظر المنظمون أيضاً إلى انعدام الشفافية بشكل سلبي للغاية. سوء التواصل في أعقاب حادثة قد يؤدي هذا إلى تفاقم العواقب القانونية، حيث يتطلب النظام العام لحماية البيانات إخطار كل من السلطات، وفي بعض الحالات، الأطراف المتضررة أنفسهم، عندما يكون هناك خطر كبير على حقوقهم وحرياتهم.

المخاطر التي يتعرض لها المستخدمون وتوصيات السلامة

تُبرز هذه القضية مدى خطورة إسناد المحتوى الشخصي إلى خدمة ما، وما قد يترتب على ذلك من مفاجآت غير سارة إذا لم تُطبّق الشركة المُطوّرة لها إجراءات أمنية فعّالة. فرغم جاذبية هذه التقنية وسهولة استخدامها، إلا أن ثمنها قد يكون باهظًا للغاية إذا وقعت في الأيدي الخطأ.

ينصح الخبراء المواطنين في إسبانيا وبقية أوروبا بتوخي الحذر الشديد بشأن نوع المعلومات التي يتم تبادلها: من المستحسن تجنب تحميل الصور أو مقاطع الفيديو ذات الطبيعة الحساسة للغاية. إلى منصات غير معروفة آليات عملها الداخلية وسياساتها الأمنية. في كثير من الحالات، بدائل تسمح بمعالجة المحتوى محلياًوبدون تحميلها إلى السحابة، فإنها تقلل بشكل كبير من مساحة التعرض.

ويصر الخبراء أيضاً على مراجعة الأمر بهدوء الأذونات المطلوبة من قبل التطبيقات قبل تثبيت هذه التطبيقات، يجب عليك قراءة شروط الاستخدام وسياسات الخصوصية. على الرغم من أنها غالبًا ما تمر دون ملاحظة، إلا أنها توضح البيانات التي يتم جمعها، ومدة الاحتفاظ بها، والجهات الخارجية التي قد تتم مشاركتها معها.

من ناحية أخرى، يُنصح بالحذر من فكرة أن العدد الكبير من التنزيلات أو التقييمات الجيدة على متجر جوجل بلاي يضمن تلقائيًا أن التطبيق آمن. عمليات تدقيق وشهادات مستقلة تظل المعايير المتخصصة المرجع الأكثر موثوقية عند تقييم مدى متانة أمان الخدمة الرقمية.

في بيئة الأعمال الأوروبية، حيث تستخدم المزيد والمزيد من الشركات تطبيقات الذكاء الاصطناعي في الحملات التسويقية أو إنشاء المحتوى، ينبغي على مديري تكنولوجيا المعلومات وضع سياسات داخلية واضحة بشأن استخدام الأدوات الخارجية، بما في ذلك المراجعات الأمنية المسبقة والاتفاقيات التعاقدية التي تتطلب من الموردين الامتثال للائحة العامة لحماية البيانات (GDPR) واللوائح الأخرى المعمول بها.

كل ما حدث مع تطبيق الذكاء الاصطناعي هذا لنظام Android يوضح كيف يمكن لتعديل بسيط تم تنفيذه بشكل سيئ في السحابة أن يكشف ملايين الملفات الشخصية ويفتح جبهة من المشاكل القانونية والسمعة والخصوصية لكل من الشركة ومستخدميها؛ تذكير بأنه وراء البساطة الظاهرية لتحميل صورة وتطبيق فلتر الذكاء الاصطناعي، توجد بنية تحتية معقدة يجب حمايتها إذا لم يتم تعريض خصوصية نصف العالم للخطر.

أكثر من مليار هاتف يعمل بنظام أندرويد معرض للخطر
المادة ذات الصلة:
أكثر من مليار هاتف يعمل بنظام أندرويد تخضع للتدقيق بحثاً عن ثغرات أمنية