Cutout 是一种流行的 AI 图像编辑工具,遭受了数据泄露,暴露了用户图像、用户名和电子邮件地址。
该事件凸显了使用基于云的人工智能工具处理敏感数据的风险。
Cutout.pro 是一款基于网络的 AI 图像编辑工具,被发现泄露了价值 9GB 的用户数据,其中包括用户名和通过特定查询请求的图像。
这一发现是由 Cybernews 发现的,他发现了一个开放的 ElasticSearch 实例,其中包含 2200 万条引用用户名的日志条目,包括个人用户和企业帐户。
但是,由于日志条目包含重复项,受影响的用户总数尚不清楚。
该实例还包含有关用户积分数量、虚拟游戏货币以及存储生成图像的Amazon S3 存储桶的链接的信息。
这不足为奇,因为人工智能工具的使用激增。这正是由于ChatGPT的巨大成功。
如此之多以至于谷歌被迫发布了自己的 AI 工具,称为Bard AI。
暴露的 Elasticsearch 集群
总部位于中国香港的视觉设计平台允许用户使用基于 AI 的应用程序编程接口 API处理照片或生成图像。
此功能可以将公司的服务集成到第三方应用程序中。
正如研究人员指出的那样,Cutout.pro 拥有超过 3 亿次 API 请求的自我报告统计数据,每秒来自 5,000 多个应用程序和网站的 4,000 个请求,以及与超过 25,000 家企业的合作伙伴关系。
因此,泄漏的后果对于数据在泄漏中暴露的客户来说可能是毁灭性的。
据报道,他们的团队还在开放数据库中发现了两款图像编辑应用:Vivid 和 AYAYA。
如果 Cutout.pro 的开发人员之前没有备份数据,那么打开的实例不仅会导致暂时的拒绝服务,还会导致存储在打开的实例上的数据永久丢失。
攻击者本可以将其消灭。
由于配置不当,开放实例可能已被威胁参与者以多种方式利用。Cybernews 团队推测任何人都可以执行 CRUD(创建、读取、更新和删除)操作。
攻击者可以使用初始访问点进入数据库,控制数据,并通过 Cutout.pro 的 API 传递数据,从而对公司客户进行危险的供应链攻击。
错误配置的数据库,对隐私的威胁。
众所周知,配置错误或不安全的数据库已成为对公司和毫无戒心的用户的主要隐私威胁。
2020 年,研究人员发现了 1万多个不安全的数据库,这些数据库在没有任何安全身份验证的情况下将超过 100 亿条记录公开给公众访问。
2021年,暴露的数据库数量增加到39.92万个。
2021 年由于配置错误导致数据库泄漏最多的前 10 个国家地区包括:
美国:93685 个数据库
中国:54764 个数据库
德国:11177 个数据库
法国:9,723 个数据库
印度:6,545 个数据库
新加坡:5,882 个数据库
中国香港:5563 个数据库
俄罗斯:5493 个数据库
日本:4427 个数据库
意大利 :4242 个数据库
