تطبيق على Play Store يكشف 12 تيرابايت من صور المستخدمين وبياناتهم الحساسة !
كشف تقرير أمني حديث عن تسريب ضخم للبيانات مرتبط بتطبيقين كانا متاحين عبر متجر Google Play، أحدهما حقق أكثر من 500 ألف عملية تحميل. التطبيق الأول، Video AI Art Generator & Maker، كان يتيح للمستخدمين تعديل الصور وإنشاء محتوى فني بالذكاء الاصطناعي، لكنه احتوى على ثغرة خطيرة في إعدادات التخزين السحابي.
المشكلة تمثلت في إعداد غير صحيح لحاوية Google Cloud Storage، ما جعل الملفات المخزنة بداخلها متاحة للعامة دون أي تحقق أو تسجيل دخول. نتيجة لذلك، تم كشف أكثر من 12 تيرابايت من البيانات، تشمل 8.27 مليون ملف وسائط، من بينها أكثر من 1.5 مليون صورة للمستخدمين، وما يزيد عن 385 ألف مقطع فيديو، إضافة إلى ملايين الملفات الناتجة عن معالجة الذكاء الاصطناعي.
الخطورة لا تتوقف عند الصور والفيديوهات، إذ تبين أن تطبيقًا آخر من نفس المطور يحمل اسم IDMerit تسبب في كشف بيانات تحقق الهوية المعروفة باسم KYC. هذه البيانات تشمل أسماء كاملة، عناوين سكن، أرقام هواتف، معلومات وظيفية، ووثائق تعريف رسمية، وهي معلومات تُستخدم عادة في الإجراءات البنكية والتحقق المالي. التسريب طال مستخدمين في الولايات المتحدة و25 دولة أخرى، ما يوسع نطاق المخاطر المحتملة مثل سرقة الهوية والاحتيال المالي.
بعد انكشاف الحادثة، لم يعد تطبيق Video AI Art Generator & Maker ظاهرًا في متجر Play، وأكدت Google أنها أخفته عقب نشر التقرير. ومع ذلك، تعكس الواقعة خللًا في ممارسات تأمين البيانات من جانب المطور، وليس بالضرورة ثغرة في المتجر نفسه.
الحادثة تسلط الضوء على مخاطر الثقة العمياء في التطبيقات حتى لو كانت متاحة عبر متجر رسمي. خطأ إعداد واحد في البنية السحابية قد يؤدي إلى كشف ملايين الملفات الحساسة. لذلك، ينصح دائمًا بالتحقق من سمعة المطور، وتقييد الصلاحيات الممنوحة للتطبيقات، وتجنب رفع مستندات حساسة ما لم تكن هناك ضرورة حقيقية.
