- Cybernewsが「Video AI Art Generator & Maker」アプリで設定ミスのあるデータベースを発見
- 流出により827万件のメディアファイルが露出、うち200万件はプライベートなユーザー写真・動画
- 開発者は情報開示後にデータベースを保護、別のCodewayアプリにも同様の欠陥が見つかった
また別の機密ユーザーデータを漏らす設定ミスのあるデータベースが発見されましたが、今回はさらに懸念される事態です。なぜなら流出しているデータはユーザーがアップロードした写真・動画だからです。
セキュリティ調査企業Cybernewsの研究者たちは最近、「Video AI Art Generator & Maker」というAndroidアプリが、設定ミスのあるGoogle Cloudストレージバケットを含んでいることを発見しました。このバケットは、その場所を知っている誰もがアクセスできる状態でした。
合計で、150万件以上のユーザー画像と38万5000件以上のビデオがバケットに保存されていました。さらに、287万件以上のAI生成動画、386,000件以上のAI生成音声ファイル、287万件以上のAI生成画像が保存されていました。
複数の脆弱なアプリ
このアプリは写真・動画のAI生成メイクオーバーを提供していました。最近特に人気のある機能です。2023年6月半ばに発表され、Cybernewsによると、その後ユーザーがアップロードするマルチメディアを保存し続けていました。
したがって、露出したバケットには合計827万件のメディアファイルが含まれており、そのうち200万件はプライベートなユーザーアップロードコンテンツでした。
このアプリはトルコに登録されている民間企業Codeway Dijital Hizmetler Anonim Sirketiによって開発されたと言われていますが、Play StoreやエディベロッパーのWebサイトでこのアプリを見つけることはできませんでした。CodewayのPlay Storeページには3つのアプリしか表示されていません。
しかし、公式Webサイトには「Chat & Ask AI」という別のアプリが表示されており、これもGoogle Firebaseを使用して設定ミスのあるバックエンドを持っていました。2026年2月初旬、独立した研究者がこのアプリ(そのカテゴリで最も人気のあるアプリの1つ)が2500万ユーザーに関連する3億件のメッセージを露出させていることを発見しました。
それでも、Cybernewsは開発者と連絡を取ることができたと述べており、その後、開発者はVideo AI Art Generator & Makerデータベースを保護しました。
「このデータ漏洩は、一部のAIアプリがいかに迅速な製品配信を優先し、ユーザーデータ(画像・動画を含む)を保存するための重要なクラウドストレージバケットの認証有効化など、重要なセキュリティ機能をスキップしているかを示しています」と研究者たちは説明しました。
そしてもちろん、TikTokでTechRadarをフォローすることで、ニュース、レビュー、動画形式でのアンボックスを見ることができます。またWhatsAppで定期的にアップデートを受け取ることができます。
