KoalaKeo2k7
New member
Ối giời ơi, chị em ơi! Có 2 app AI trên Android vừa bị bóc phốt là đã làm rò rỉ hơn 12 TB dữ liệu cá nhân của người dùng rồi đó. Data bao gồm luôn thông tin KYC (biết chưa, cái thông tin xác minh danh tính đó) của hàng triệu người trên toàn cầu luôn á
Trên Google Play Store giờ đang có cả đống app AI chưa qua cấp phép và bảo mật kém cỏi. Mấy app này toàn quảng cáo là dùng để chỉnh sửa nội dung hay xác minh danh tính, nhưng thực chất lại đang lén lút làm lộ hàng tỷ bản ghi dữ liệu cá nhân của user Android đó nha!
Theo báo cáo mới nhất, app nguy hiểm nhất phải kể đến "Video AI Art Generator & Maker" - từng được list trên Google Play Store. Và còn có thêm IDMerit nữa, cũng của dev này luôn, nghe mà rùng mình
App này có hơn 500.000 lượt tải, và đã vô tình để lộ hơn 1,5 triệu ảnh, 385.000 video và hàng triệu file AI do chính user tạo ra. Sốc chưa?
Nguyên nhân là do một kho lưu trữ trên Google Cloud bị cấu hình sai, khiến cho ai cũng có thể vào xem data mà không cần đăng nhập gì cả. Tưởng tượng như để nhà không khóa cửa vậy đó!
Tổng cộng hơn 12 TB data (tương đương 8,27 triệu file media) mà app thu thập từ tháng 6/2023 đã bị lộ hết. Thankfully, giờ Google đã gỡ app này khỏi store rồi
Nhưng còn chưa hết drama nha! "IDMerit" - một app khác cùng nhà phát triển Codeway - cũng bị phát hiện làm lộ dữ liệu KYC (Know-your-customer). Đây là những thông tin mà các tổ chức tài chính bắt buộc phải thu thập để xác minh danh tính và rủi ro của khách hàng đó.
Data bị rò rỉ thuộc về user ở Mỹ và 25 quốc gia khác (gồm cả Đức, Pháp, Trung Quốc và Brazil), với đầy đủ thông tin như: Họ tên, ngày sinh, giới tính; Địa chỉ và mã bưu điện; Số điện thoại, email; Giấy tờ tùy thân; Siêu dữ liệu viễn thông.
Việc lộ những data nhạy cảm này khiến mọi người có nguy cơ bị đánh cắp thông tin xác thực ở các tài khoản ngân hàng, thẻ tín dụng và chứng khoán luôn đó nha! Nguy hiểm vãi
Theo Cybernews, có tới 72% trong số hàng trăm app Play Store được phân tích đều mắc lỗ hổng "gắn cứng bí mật" (hardcoding secrets).
Cái này nghĩa là họ nhúng trực tiếp các thông tin nhạy cảm như password hay khóa mã hóa vào luôn trong mã nguồn app. Các bot độc hại có thể quét các kho lưu trữ công khai như GitHub và đánh cắp các khóa này chỉ trong chưa đầy 5 giây thôi. Nhanh như chớp á!
Nhưng cũng có tin tốt là các nhà nghiên cứu xác nhận dev Codeway đã đóng quyền truy cập vào data của app IDMerit từ ngày 3/2 rồi.
Tips bảo vệ bản thân cho anh em Android:
Kiểm tra kỹ nhà phát triển: Tránh xa mấy dev phát hành hàng chục app có giao diện giống nhau y chang đúc, vì họ đang chạy theo số lượng chứ không quan tâm chất lượng. Ưu tiên các app có huy hiệu "Nhà phát triển đã xác minh" (Verified Developer) từ Google nha!
Cẩn thận với dấu hiệu lạ: Nếu thấy app nào làm máy nóng như lò, hao pin dù đã tắt, hoặc chào mời gói đăng ký trọn đời giá rẻ đến khó tin (kiểu 4,99 USD) thì cẩn thận đó nha. Rẻ quá thì cũng sợ lắm!
Dùng công cụ quét bảo mật: Vào Settings > Google > Security > Play Protect > Quét để check xem có app nào đáng ngờ không nhé!
Nguồn: kenh14.vn
Trên Google Play Store giờ đang có cả đống app AI chưa qua cấp phép và bảo mật kém cỏi. Mấy app này toàn quảng cáo là dùng để chỉnh sửa nội dung hay xác minh danh tính, nhưng thực chất lại đang lén lút làm lộ hàng tỷ bản ghi dữ liệu cá nhân của user Android đó nha!
Theo báo cáo mới nhất, app nguy hiểm nhất phải kể đến "Video AI Art Generator & Maker" - từng được list trên Google Play Store. Và còn có thêm IDMerit nữa, cũng của dev này luôn, nghe mà rùng mình
App này có hơn 500.000 lượt tải, và đã vô tình để lộ hơn 1,5 triệu ảnh, 385.000 video và hàng triệu file AI do chính user tạo ra. Sốc chưa?
Nguyên nhân là do một kho lưu trữ trên Google Cloud bị cấu hình sai, khiến cho ai cũng có thể vào xem data mà không cần đăng nhập gì cả. Tưởng tượng như để nhà không khóa cửa vậy đó!
Tổng cộng hơn 12 TB data (tương đương 8,27 triệu file media) mà app thu thập từ tháng 6/2023 đã bị lộ hết. Thankfully, giờ Google đã gỡ app này khỏi store rồi
Nhưng còn chưa hết drama nha! "IDMerit" - một app khác cùng nhà phát triển Codeway - cũng bị phát hiện làm lộ dữ liệu KYC (Know-your-customer). Đây là những thông tin mà các tổ chức tài chính bắt buộc phải thu thập để xác minh danh tính và rủi ro của khách hàng đó.
Data bị rò rỉ thuộc về user ở Mỹ và 25 quốc gia khác (gồm cả Đức, Pháp, Trung Quốc và Brazil), với đầy đủ thông tin như: Họ tên, ngày sinh, giới tính; Địa chỉ và mã bưu điện; Số điện thoại, email; Giấy tờ tùy thân; Siêu dữ liệu viễn thông.
Việc lộ những data nhạy cảm này khiến mọi người có nguy cơ bị đánh cắp thông tin xác thực ở các tài khoản ngân hàng, thẻ tín dụng và chứng khoán luôn đó nha! Nguy hiểm vãi
Theo Cybernews, có tới 72% trong số hàng trăm app Play Store được phân tích đều mắc lỗ hổng "gắn cứng bí mật" (hardcoding secrets).
Cái này nghĩa là họ nhúng trực tiếp các thông tin nhạy cảm như password hay khóa mã hóa vào luôn trong mã nguồn app. Các bot độc hại có thể quét các kho lưu trữ công khai như GitHub và đánh cắp các khóa này chỉ trong chưa đầy 5 giây thôi. Nhanh như chớp á!
Nhưng cũng có tin tốt là các nhà nghiên cứu xác nhận dev Codeway đã đóng quyền truy cập vào data của app IDMerit từ ngày 3/2 rồi.
Tips bảo vệ bản thân cho anh em Android:
Kiểm tra kỹ nhà phát triển: Tránh xa mấy dev phát hành hàng chục app có giao diện giống nhau y chang đúc, vì họ đang chạy theo số lượng chứ không quan tâm chất lượng. Ưu tiên các app có huy hiệu "Nhà phát triển đã xác minh" (Verified Developer) từ Google nha!
Cẩn thận với dấu hiệu lạ: Nếu thấy app nào làm máy nóng như lò, hao pin dù đã tắt, hoặc chào mời gói đăng ký trọn đời giá rẻ đến khó tin (kiểu 4,99 USD) thì cẩn thận đó nha. Rẻ quá thì cũng sợ lắm!
Dùng công cụ quét bảo mật: Vào Settings > Google > Security > Play Protect > Quét để check xem có app nào đáng ngờ không nhé!
Nguồn: kenh14.vn