Un incident majeur a révélé des vulnérabilités critiques au sein de certaines applications populaires de Vyro AI, exposant des informations sensibles de millions d’utilisateurs. Cette situation soulève des questions sérieuses sur la sécurité et la protection des données dans le domaine des intelligences artificielles.
Un serveur de Vyro AI a dévoilé pendant des mois des conversations privées, tokens d’accès et données personnelles d’utilisateurs de ses applications les plus populaires
Les grands modèles d’intelligence artificielle et les chatbots comme ChatGPT, Claude ou Gemini font partie de la vie quotidienne de nombreux utilisateurs. Cependant, des risques existent : un grave problème de sécurité impliquant Vyro AI, l’entreprise associée à certains des chatbots les plus téléchargés, a montré que la protection des données des utilisateurs reste une préoccupation majeure.
Selon une enquête menée par Cybernews, un serveur lié à cette entreprise était en train de filtrer des informations sensibles en temps réel. Cette fuite impacte trois applications : ImagineArt, Chatly et Chatbotx. La première a été téléchargée 10 millions de fois sur Google Play, la seconde a atteint 100 000 téléchargements, et la troisième est un chatbot web avec environ 50 000 visiteurs par mois.
Des millions d’affectés et des données exposées
Le serveur compromis filtrait jusqu’à 116 Go de fichiers utilisateurs, accessibles depuis les environnements de développement et de production. Ces documents étaient stockés entre deux et sept jours, puis indexés par des moteurs de recherche sur des appareils IoT à la mi-février dernier. Cela aurait permis à des attaquants potentiels d’accéder à des données confidentielles durant plusieurs mois.
Quels types de données ont été exposées ? Elles regroupent les messages et prompts que les utilisateurs saisissaient dans les applications de Vyro AI, ainsi que les tokens d’authentification pour accéder à leurs comptes. Cela présente un risque sérieux : ces tokens pourraient être utilisés pour compromettre ces comptes, consulter l’historique des conversations ou obtenir des crédits de manière frauduleuse sur les plateformes.
De plus, des risques plus graves existent, car les conversations avec l’IA incluent souvent des informations sensibles ou confidentielles. Ces fuites mettent en lumière la confiance que les utilisateurs placent dans ces systèmes et soulignent que la compétition pour se démarquer sur le marché des IA conduit souvent à des coupes dans les ressources allouées à la cybersécurité.
Personne n’est à l’abri de telles failles de sécurité. Tout chatbot peut être manipulé pour fournir des informations sensibles, comme l’a montré le chatbot d’Expedia, qui a détaillé comment créer des cocktails Molotov en réponse à certaines requêtes. Le chatbot de Lenovo a également été exploité pour obtenir des identifiants utilisateurs grâce à une simple instruction.
La fuite chez Vyro AI illustre que la sécurité des outils d’intelligence artificielle a besoin de beaucoup plus d’attention. Alors que les entreprises rivalisent pour dévoiler la prochaine grande innovation, les utilisateurs restent dans l’incertitude quant à la protection de leurs conversations les plus privées.