Meta załatała dziurę w zabezpieczeniach, która mogła narazić na wgląd dane użytkowników Meta AI

Meta naprawiła błąd w zabezpieczeniach swojej platformy Meta AI, który umożliwiał użytkownikom dostęp do prywatnych danych innych osób, w tym podpowiedzi i treści generowanych przez sztuczną inteligencję. Błąd został wykryty przez Sandeepa Hodkasia, założyciela firmy AppSecure, specjalizującej się w testowaniu bezpieczeństwa aplikacji.

Hodkasia zgłosił błąd Meta 26 grudnia 2024 roku i otrzymał nagrodę w wysokości 10 000 dolarów w ramach programu bug bounty. Meta wdrożyła poprawkę 24 stycznia 2025 roku i nie stwierdziła żadnych dowodów na to, że błąd został wykorzystany w sposób złośliwy.

Problem wynikał z faktu, że serwery Meta nie sprawdzały należycie, czy użytkownik żądający dostępu do podpowiedzi i odpowiedzi AI był do tego uprawniony. Hodkasia odkrył, że numery podpowiedzi generowane przez serwery Meta były łatwe do odgadnięcia, co potencjalnie pozwalało złośliwym aktorom na pobieranie oryginalnych podpowiedzi użytkowników przy użyciu automatycznych narzędzi.

Incydent ten jest szczególnie istotny w kontekście rosnącej liczby produktów AI wprowadzanych na rynek przez gigantów technologicznych, pomimo licznych ryzyk związanych z bezpieczeństwem i prywatnością. Meta AI, aplikacja, która miała problemy z prywatnością już wcześniej, gdy niektórzy użytkownicy przypadkowo udostępniali publicznie to, co myśleli, że są prywatne konwersacje z chatbotem.