Два приложения для Android от одного разработчика были удалены из Play Store после утечки большого объема персональных данных. Приложение Video AI Art Generator & Maker, установленное более 500 000 раз, утекло более 1,5 миллиона пользовательских изображений, более 385 000 видео и миллионы файлов, сгенерированных ИИ. Это произошло из-за неправильно настроенного хранилища Google Cloud Storage. С момента запуска приложения 2023-06-13 было собрано более 12 ТБ и в общей сложности 8,27 миллиона медиафайлов.
Утечка данных IDMerit
Второе приложение от того же разработчика, IDMerit, раскрыло информацию Know-Your-Customer (KYC) и персональные данные пользователей из США и 25 других стран, включая Германию, Францию, Китай и Бразилию. Утекли такие данные, как полные имена, адреса, почтовые индексы, даты рождения, национальные идентификаторы, номера телефонов, пол, адреса электронной почты и метаданные телекоммуникаций.
Причины и меры предосторожности
Исследователи отмечают, что многие утечки данных происходят из-за того, что разработчики встраивают секреты (пароли, ключи) в код. По данным Cybernews, 72% из сотен проанализированных приложений Play Store имели аналогичные уязвимости. Разработчик Codeway, создавший IDMerit и Video AI Art Generator & Maker, закрыл доступ к данным IDMerit 2023-02-03. Чтобы снизить риск, рекомендуется проверять портфолио разработчика, искать значок "Проверенный разработчик" от Google, избегать приложений, которые быстро разряжают батарею или предлагают подозрительно дешевые подписки на всю жизнь, и сканировать приложения с помощью Google Play Protect (Профиль > Play Protect > Сканировать).