Cutout 是一種廣受歡迎的人工智能(AI)圖像編輯工具,近日遭到一起數據洩密事件,因而洩露了用戶圖像、用戶名和電子郵件地址。這起事件凸顯了使用基于雲的 AI 工具處理敏感數據所帶來的風險。
Cutout.pro 是一款基于互聯網的 AI 圖像編輯工具,近日被發現洩露了多達 9 GB 的用戶數據,其中包含用戶名和通過使用特定查詢請求的圖像。
這起安全事件是由 Cybernews 發現的,該安全網站發現了一個敞開的 ElasticSearch 實例含有 2200 萬條引用用戶名的日志條目,其中包括個人用戶和企業帳戶。
然而,由于日志條目含有重複項,受影響的用戶總共有多少就不得而知。該實例還包含用戶積分數量、虛拟遊戲貨币以及用來存儲所生成圖像的亞馬遜 S3 存儲桶的鏈接等方面的信息。
由于使用基于 AI 的工具蔚然成風,出現這樣的事件應該不足爲奇。AI 工具大行其道,這要拜 ChatGPT 大獲成功所賜。ChatGPT 如此成功,以至于谷歌被迫發布了自己的 AI 工具:Bard AI。
圖 1. 洩露的 Elasticsearch 集群(圖片來源:Cybernews)
這個總部位于中國香港的視覺設計平台允許用戶使用基于 AI 的應用編程接口(API)來處理照片或生成圖像。這項功能讓用戶可以将該公司的服務整合到第三方應用程序中。
正如研究人員特别指出,Cutout.pro 自稱每個月收到全球超過 3 億次的 API 請求,峰值期間每秒收到來自 5000 多個應用程序和網站的 4000 次請求,還聲稱與 25000 多家企業建立了合作夥伴關系。
因此,這起洩露造成的後果對于數據在此事件中洩露的客戶來說可能是毀滅性的。據 Cybernews 報道,其團隊還在這個敞開的數據庫中發現了兩款圖像編輯應用程序:Vivid 和 AYAYA。
" 如果 Cutout.pro 的開發人員之前沒有備份數據,這個敞開的實例不僅會導緻暫時的拒絕服務,還會導緻存儲在這個敞開的實例上的數據永久丢失。攻擊者可以徹底摧毀這個實例。"
由于未适當配置,這個敞開的實例可能已被威脅分子以多種方式利用。Cybernews 團隊推測任何人都可以執行 CRUD(創建、讀取、更新和删除)操作。
攻擊者可能使用這個初始訪問點進入數據庫、控制數據,并通過 Cutout.pro 的 API 傳遞數據,從而對這家公司的客戶實施危險的供應鏈攻擊。
錯誤配置的數據庫對隐私構成了威脅
衆所周知,配置錯誤或不安全的數據庫對許多公司和毫無戒心的用戶已構成了重大的隐私威脅。2020 年,研究人員發現了 10000 多個不安全的數據庫,這些數據庫将超過 100 億條(10463315645)記錄暴露了在公衆面前,未采取任何安全身份驗證機制,誰都可以訪問。
2021 年,暴露的數據庫數量增加到了 399200 個。2021 年因配置錯誤而導緻數據庫洩露事件最多的前 10 個國家或地區包括如下:
美國:93685 個數據庫
中國:54764 個數據庫
德國:11177 個數據庫
法國:9723 個數據庫
印度:6545 個數據庫
新加坡:5882 個數據庫
中國香港:5563 個數據庫
俄羅斯:5493 個數據庫
日本:4427 個數據庫
意大利:4242 個數據庫