Chattee Chat a GiMe Chat odhalily 43 milionů zpráv, 600 000 obrázků a videí kvůli nedostatečné základní ochraně svých serverů.
Aplikace pro virtuální společnice s umělou inteligencí (AI) slibují absolutní soukromí pro konverzace, které jsou ze své podstaty často značně osobní. Podle serveru Cybernews však dvě aplikace pro přítelkyně s umělou inteligencí odhalily údaje více než 400 000 uživatelů. Jedná se o miliony intimních konverzací, fotografie zaslané uživateli, IP adresy a záznamy o nákupech dosahující v některých případech tisíců dolarů.
Únik byl odhalen 28. srpna 2025, kdy výzkumníci narazili na zcela odhalenou a nechráněnou instanci služby Kafka Broker. Tento systém spravoval soukromé zprávy mezi uživateli a instancemi umělé inteligence ve dvou aplikacích: Chattee Chat a GiMe Chat. Server obsahoval více než 43 milionů zpráv, více než 600 000 obrázků a videí sdílených nebo generovaných AI. Vše bylo přístupné každému, kdo věděl, kde hledat.
Když svěříte svá tajemství někomu, kdo neví, jak je udržet
Výzkumníci Cybernews mají jasno: prakticky všechen zveřejněný obsah byl vysoce citlivý a intimního charakteru. Aplikace slibovaly soukromí, uživatelé svým virtuálním společnicím svěřovali své nejintimnější konverzace, a mezitím byl server otevřený dokořán bez ověřování a kontroly přístupu. Kdokoli s odkazem mohl vidět vše, co uživatelé odesílali a přijímali.
Související článek
◾Cybernews research◾Two AI companion apps, Chattee Chat and GiMe Chat, exposed millions of intimate conversations and images from over 400,000 users.#AI #chatbot #dating #privacy https://t.co/JTbUrnw6qj
— Cybernews (@CyberNews) October 8, 2025
Chattee se v době odhalení narušení umístila na 121. místě v žebříčku zábavy v App Store. Aplikace byla stažena více než 300 000krát, převážně uživateli z USA. Během vyšetřování aplikace Chattee zmizela z obchodu Google Play a vývojář dal uživatelům pokyny, aby si APK stáhli přímo. Rozhodnutí, které hodně vypovídá o tom, jak chápou bezpečnost.
Únik neobsahoval přímo jména ani e-mailové adresy, ale odhalil IP adresy a jedinečné identifikátory zařízení. Údaje, které lze porovnat s dalšími hromadnými úniky a identifikovat osoby. Každý uživatel poslal své virtuální AI přítelkyni v průměru 107 zpráv a tyto informace spolu s obrázky a videi poskytují více než dost materiálu k jejich identifikaci.
Záznamy o nákupech ukazují extrémní případy: někteří uživatelé utratili za virtuální měnu až 18 000 dolarů. Uniklé transakce naznačují, že vývojář vydělal více než 1 milion dolarů. Cybernews o problému zodpovědně informoval, ale společnost na žádosti o komentář nereagovala.
Být spojován s používáním aplikace s virtuální přítelkyní může mít dopad na reputaci daného jedince. Útočníci mají v těchto údajích vše, co potřebují pro sextortion, cílený phishing nebo personalizované útoky. Špatně nakonfigurované instance služby Kafka Broker jsou častější, než by měly být. Nedávno došlo k narušení systému Gmail, které ohrozilo údaje 2,5 miliardy uživatelů po útoku na systémy Salesforce.
Vývoj tohoto případu nevypadá pro nikoho dobře: narušení bylo zjištěno 29. srpna, uzavřeno bylo 19. září. Tři týdny odhalených údajů, kdy se kdokoli se základními znalostmi mohl dostat k intimním konverzacím více než 400 000 lidí.
Důsledky a poučení
Tento incident poukazuje na důležitost kybernetické bezpečnosti při vývoji aplikací, zejména těch, které zpracovávají citlivé údaje. Nedostatek základních bezpečnostních opatření, jako je ověřování a řízení přístupu, může mít pro uživatele a podniky zničující důsledky. Zdůrazňuje také potřebu podniků rychle a účinně reagovat na bezpečnostní zranitelnosti a chránit tak své uživatele.
V souvislosti s rostoucí popularitou aplikací umělé inteligence je zásadní, aby vývojáři od počátku zaváděli spolehlivé bezpečnostní postupy. To zahrnuje šifrování dat, pravidelné bezpečnostní audity a vzdělávání uživatelů o tom, jak chránit své osobní údaje.
Uživatelé by si navíc měli být vědomi rizik spojených s používáním aplikací, které zpracovávají osobní údaje, a měli by podniknout kroky k ochraně svého soukromí, například používat silná hesla a být obezřetní při sdílení citlivých informací.
Tento případ je zkrátka připomínkou, že bezpečnost a ochrana soukromí musí být prioritou jak pro vývojáře aplikací, tak pro uživatele. Pouze proaktivním přístupem a spoluprací lze zmírnit rizika spojená s používáním pokročilých technologií.