Uma startup indiana de IA que ajuda empresas a criar chatbots personalizados vazou quase 350 mil arquivos confidenciais depois que os dados foram deixados inseguros na web.
A WotNot, sediada em Ahmedabad, deixou uma grande coleção de informações confidenciais do usuário – incluindo digitalização de passaportes e identidades, registros médicos, currículos, rotas de viagem e muito mais – inseguras em um intervalo do Google Cloud Storage.
Pesquisadores em Notícias cibernéticas descobriram o problema de segurança em 27 de agosto de 2024. O intervalo do Google Cloud Storage que eles descobriram armazenava 346.381 arquivos – todos acessíveis a qualquer pessoa online, sem necessidade de senha.
Essa falta de segurança básica é lamentável quando você considera que as informações contidas no depósito de armazenamento aberto incluem documentos que podem facilitar o roubo de sua identidade pelos cibercriminosos.
Notícias cibernéticas tentou informar WotNot sobre o problema em 9 de setembro e enviou “muitos e-mails de acompanhamento, incluindo outros endereços de e-mail”. Segundo os pesquisadores, demorou mais de dois meses para a empresa fechar a falha de segurança.
Você não foi informado Notícias cibernéticas que o bucket foi usado por usuários de nível gratuito de seus serviços e que “o motivo da violação é que as políticas do bucket de armazenamento em nuvem foram alteradas para se adequar a um caso de uso específico. No entanto, infelizmente não conseguimos garantir sua acessibilidade, o que não foi intencional. Isso deixou a informação exposta.”
A empresa de chat de IA tentou tranquilizar seus clientes empresariais de que eles não foram afetados pela violação de segurança:
“Para clientes empresariais, oferecemos ambientes privados para garantir que os padrões de segurança e conformidade sejam rigorosamente respeitados.”
Na verdade, não deveria importar se você é um usuário não pagante do WotNot ou uma organização como a Merck ou a Universidade da Califórnia, cuja empresa conta entre seus clientes pagantes. Ninguém merece ter sua privacidade tratada de forma descuidada.
De alguma forma, duvido que o WotNot estivesse anunciando uma das vantagens de ser um usuário pago, em vez de se ater à categoria gratuita, de que não havia segurança para clientes inadimplentes.
Meu conselho? Nunca compartilhe informações confidenciais com um chatbot de IA, pois você não pode ter certeza de onde elas podem ser armazenadas ou o que pode ser feito com elas… e no caso de serviços como o WotNot você pode não saber quanto cuidado é necessário para mantê-las fora das mãos de qualquer outra pessoa na Internet.
