Violação massiva em aplicativos complementares de IA expõe 43 milhões de mensagens privadas

Uma violação significativa de dados envolvendo dois aplicativos complementares de IA, Chattee Chat e GiMe Chat, expôs mais de 43 milhões de mensagens privadas. O incidente, descoberto pelo grupo de pesquisa de segurança cibernética Cybernews, também vazou mais de 600 mil imagens e vídeos, destacando as vulnerabilidades de segurança presentes quando os usuários confiam interações pessoais a plataformas de IA. O desenvolvedor por trás dos aplicativos é a empresa Imagime Interactive Limited, com sede em Hong Kong. Em 28 de agosto de 2025, pesquisadores da Cybernews identificaram um servidor Kafka Broker exposto publicamente, operado pela Imagime Interactive Limited. O servidor ficou sem qualquer proteção de segurança, o que significa que não tinha requisitos de autenticação ou controles de acesso. Essa falta de segurança permitiu que qualquer pessoa acessasse os dados nele contidos. O servidor estava transmitindo ativamente conversas em tempo real entre usuários e seus companheiros de IA. Os dados expostos incluíam não apenas mensagens de texto, mas também links diretos para fotos pessoais, vídeos e imagens geradas por IA trocadas dentro dos aplicativos. Os pesquisadores descreveram parte do conteúdo exposto como “virtualmente inseguro para o trabalho”, indicando a natureza íntima e sensível das informações vazadas. A violação afetou um total de 400.000 usuários nas plataformas iOS e Android. De acordo com a investigação, aproximadamente dois terços dos dados expostos originaram-se de usuários iOS, sendo o terço restante proveniente de usuários de dispositivos Android. A maioria dos indivíduos afetados pelo vazamento estava localizada nos Estados Unidos. Embora os dados vazados não incluíssem nomes completos ou endereços de e-mail, continham outros identificadores significativos, incluindo endereços IP de usuários e IDs exclusivos de dispositivos. Esta informação pode ser cruzada com outras fontes de dados para rastrear e potencialmente identificar indivíduos. A análise mostrou que os usuários enviaram uma média de 107 mensagens cada para seus parceiros de IA. Esta atividade criou uma pegada digital substancial para cada utilizador, contendo pensamentos e interações pessoais que poderiam ser aproveitadas para fins maliciosos, como roubo de identidade, assédio direcionado ou chantagem. A investigação também trouxe à tona detalhes financeiros. Os registros de compras incluídos nos dados expostos revelaram que alguns usuários gastaram quantias consideráveis ​​de dinheiro nos aplicativos, com gastos individuais chegando a US$ 18.000 para interagir com seus companheiros de IA. Estima-se que o desenvolvedor tenha obtido mais de US$ 1 milhão em receitas com esses aplicativos antes da descoberta da violação de dados. Em sua política de privacidade, a Imagime Interactive Limited afirmou que a segurança do usuário era “de suma importância”. No entanto, a completa ausência de medidas de autenticação no servidor contradiz directamente esta afirmação, revelando uma falha crítica na implementação de salvaguardas básicas de segurança para dados sensíveis do utilizador. Ao descobrir a vulnerabilidade, a Cybernews relatou imediatamente o problema à Imagime Interactive Limited. O servidor inseguro acabou sendo colocado offline em meados de setembro. Antes de sua remoção, o servidor estava listado em mecanismos de busca públicos de IoT, que são plataformas que indexam dispositivos conectados à Internet. A sua presença nestes motores de busca tornou-o facilmente detectável por cibercriminosos que procuram ativamente sistemas vulneráveis. Ainda não está claro se algum agente mal-intencionado acessou os dados comprometidos antes de o servidor ser protegido. O potencial de danos persiste, pois quaisquer conversas e imagens baixadas ainda podem ser usadas para facilitar golpes de sextorção, ataques de phishing ou causar danos significativos à reputação dos usuários afetados. Em resposta à violação, especialistas em segurança cibernética delinearam várias dicas para os usuários protegerem seus dados ao usarem aplicativos de IA.

• Pense antes de compartilhar: Os usuários devem evitar enviar conteúdo pessoal ou confidencial por meio de aplicativos de chat de IA. Depois que os dados são compartilhados, o controle sobre eles é efetivamente perdido.
• Use ferramentas de IA confiáveis: Recomenda-se escolher aplicativos de desenvolvedores com políticas de privacidade transparentes e um histórico comprovado de fortes medidas de segurança.
• Remova seus dados on-line: Empregar um serviço de remoção de dados pode ajudar a limpar informações pessoais de bancos de dados públicos. Embora não seja uma solução completa, pode limitar as informações disponíveis para os golpistas.
• Fortaleça sua segurança cibernética com um software antivírus forte: A instalação de um software antivírus confiável fornece uma camada de defesa, bloqueando golpes, detectando invasões e alertando os usuários sobre tentativas de phishing.
• Proteja suas contas com um gerenciador de senhas e MFA: Usar um gerenciador de senhas para senhas fortes e exclusivas e habilitar a autenticação multifator (MFA) são etapas críticas para evitar o acesso não autorizado à conta.

Esse vazamento de dados serve como um lembrete de que os aplicativos de chat de IA armazenam grandes quantidades de dados altamente confidenciais. Quando esses dados são comprometidos, isso pode levar a consequências graves, incluindo chantagem, falsificação de identidade e constrangimento público. O incidente sublinha a necessidade de padrões de segurança mais fortes e de maior responsabilização na crescente indústria complementar de IA. Para os utilizadores, desenvolver uma consciência de como os seus dados são tratados e protegidos é um primeiro passo crítico para evitar que informações pessoais sejam expostas online.

Source: Violação massiva em aplicativos complementares de IA expõe 43 milhões de mensagens privadas