Ερευνητές ασφαλείας εντόπισαν περισσότερες από 5.000 εφαρμογές χωρίς καμία απολύτως προστασία. Ιατρικά αρχεία, οικονομικά δεδομένα και αρχεία στρατηγικής εταιρειών διέρρευσαν.
Η νέα μάστιγα: εφαρμογές «vibe-coded» χωρίς ασφάλεια
Η τεχνητή νοημοσύνη έχει κάνει τη δημιουργία web εφαρμογών παιχνιδάκι. Εργαλεία όπως το Lovable, το Replit, το Base44 και το Netlify επιτρέπουν στον καθένα να φτιάξει μία εφαρμογή σε δευτερόλεπτα. Το πρόβλημα; Χιλιάδες από αυτές τις εφαρμογές δεν διαθέτουν ούτε τα βασικά μέτρα ασφαλείας.
σχετικά άρθρα
Η εταιρεία κυβερνοασφάλειας RedAccess ανέλυσε χιλιάδες εφαρμογές που δημιουργήθηκαν με τα παραπάνω εργαλεία. Βρήκε περισσότερες από 5.000 που δεν είχαν κανέναν απολύτως έλεγχο ταυτοποίησης. Οποιοσδήποτε γνώριζε τη διεύθυνση URL μπορούσε να έχει πρόσβαση στα δεδομένα.
Τι διέρρευσε; Ιατρικά αρχεία, οικονομικά δεδομένα, στρατηγικές εταιρειών
Ο ερευνητής Dor Zvi, συνιδρυτής της RedAccess, δήλωσε ότι περίπου το 40% των εκτεθειμένων εφαρμογών αποκάλυπταν ευαίσθητα δεδομένα. Η λίστα περιλαμβάνει:
-
ιατρικές πληροφορίες,
-
οικονομικά δεδομένα,
-
εταιρικές παρουσιάσεις και έγγραφα στρατηγικής,
-
αναλυτικά αρχεία συνομιλιών πελατών με chatbots (συμπεριλαμβανομένων ονομάτων και στοιχείων επικοινωνίας),
-
αρχεία μεταφορών εταιρείας,
-
διάφορα αρχεία πωλήσεων.
Σε ορισμένες περιπτώσεις, όπως είπε ο Zvi, οι εκτεθειμένες εφαρμογές θα του επέτρεπαν να αποκτήσει δικαιώματα διαχειριστή και ακόμα και να αφαιρέσει άλλους διαχειριστές.
Το πρόβλημα: απλοί χρήστες, μηδενική επίγνωση
Η ρίζα του προβλήματος δεν είναι μόνο τεχνική. Είναι και ανθρώπινη. Τα εργαλεία AI επιτρέπουν σε οποιονδήποτε – από ένα στέλεχος μάρκετινγκ μέχρι έναν υπάλληλο διοίκησης – να δημιουργήσει μία εφαρμογή χωρίς να περάσει από τη διαδικασία ανάπτυξης λογισμικού και χωρίς κανέναν έλεγχο ασφαλείας.
«Ο καθένας μέσα στην εταιρεία σας μπορεί ανά πάσα στιγμή να δημιουργήσει μία εφαρμογή», δήλωσε ο Zvi. «Δεν περνάει από κανέναν κύκλο ανάπτυξης ή έλεγχο ασφαλείας. Οι άνθρωποι απλά αρχίζουν να τη χρησιμοποιούν σε παραγωγή χωρίς να ρωτήσουν κανέναν. Και το κάνουν».
Οι εταιρείες AI ρίχνουν το βάρος στους χρήστες
Οι εταιρείες πίσω από τα εργαλεία αντέδρασαν. Η Netlify δεν απάντησε στο αίτημα σχολιασμού. Η Replit, η Lovable και η Base44 υποστήριξαν ότι οι ερευνητές δεν τους έδωσαν αρκετά στοιχεία ή αρκετό χρόνο για να αντιδράσουν. Κανείς, ωστόσο, δεν αρνήθηκε ότι οι εφαρμογές ήταν εκτεθειμένες.
Ο διευθύνων σύμβουλος της Replit, Amjad Masad, έγραψε στο X: «Το Replit επιτρέπει στους χρήστες να επιλέγουν αν οι εφαρμογές τους είναι δημόσιες ή ιδιωτικές. Οι δημόσιες εφαρμογές που είναι προσβάσιμες στο διαδίκτυο είναι αναμενόμενη συμπεριφορά. Οι ρυθμίσεις απορρήτου μπορούν να αλλάξουν οποιαδήποτε στιγμή με ένα κλικ».
Ένας εκπρόσωπος της Lovable δήλωσε: «Η Lovable λαμβάνει σοβαρά υπόψη τις αναφορές για εκτεθειμένα δεδομένα και πλαστά sites. Πώς ωστόσο έχει διαμορφωθεί μία εφαρμογή είναι τελικά ευθύνη του δημιουργού της».
Μία νέα εποχή διαρροών, όπως τα S3 buckets
Ο Joel Margolis, ερευνητής ασφαλείας, επιβεβαίωσε ότι το πρόβλημα είναι υπαρκτό. Συχνά συναντά παρόμοιες εκθέσεις δεδομένων. «Κάποιος από μία ομάδα μάρκετινγκ θέλει να δημιουργήσει μία ιστοσελίδα. Δεν είναι μηχανικός λογισμικού και πιθανότατα έχει μικρή ή καμία γνώση ασφαλείας», είπε. «Τα εργαλεία AI κάνουν ό,τι τους ζητήσεις. Εκτός αν τους ζητήσεις να το κάνουν με ασφάλεια, δεν πρόκειται να κάνουν κάτι παραπάνω».
Ο Zvi παρομοίασε τη σημερινή κατάσταση με εκείνη των buckets S3 της Amazon πριν λίγα χρόνια. Τότε, εταιρείες από την Verizon μέχρι το World Wrestling Entertainment εξέθεσαν τεράστιες ποσότητες δεδομένων λόγω κακής διαμόρφωσης. Τώρα, το ίδιο συμβαίνει με τις AI εφαρμογές.
