A investigação, realizada pela Cybernews, verificou que 72% das aplicações analisadas continham, pelo menos, uma informação sensível “escondida” no código. Em média, cada app de IA expunha mais de cinco dados confidenciais.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

Para agravar a situação, os investigadores verificaram que centenas de apps de IA já tinham sido comprometidas através de ataques automatizados. 

Em vários casos, bases de dados mal configuradas nas plataformas da Firebase e Google Cloud expuseram 200 milhões de ficheiros, com quase 730 TB de dados, incluindo informação de utilizadores. 

De acordo com os dados partilhados, 81,14% dos dados sensíveis guardados no código das aplicações analisadas estavam relacionados com identificadores de projetos do Google Cloud, endpoints e chaves de API. Ao todo, os investigadores identificaram mais de 197.092 elementos sensíveis únicos.

Por si só, a maioria destas credenciais não é necessariamente perigosa se existirem controlos de acesso devidamente configurados. No entanto, aumentam significativamente a superfície de ataque para os cibercriminosos.

Além disso, as chaves de API da Google são particularmente sensíveis, uma vez que são usadas para autenticar pedidos a vários serviços da empresa.

Entre os outros elementos sensíveis expostos contam-se credenciais da AWS, chaves de API de serviços de IA, backends personalizados, plataformas de marketing e bases de dados, indica a investigação.

A segunda categoria mais comum de identificadores incorporados estava ligada ao Facebook, sobretudo IDs de aplicações e tokens de clientes, que são frequentemente guardados diretamente no código para fins de análise de dados, autenticação e integração com sistemas de publicidade.

A investigação mostra também que algumas das APIs expostas estão ligadas a serviços financeiros, aplicações de comunicação, ferramentas de análise e informações de clientes. Apesar da sensibilidade das integrações com grandes modelos de linguagem, os investigadores encontraram poucas chaves de API de LLMs expostas. Entre as mais expostas estavam as da OpenAI, seguidas pelo Google Gemini e pelo Claude.

Assine a newsletter do TEK Notícias e receba todos os dias as principais notícias de tecnologia na sua caixa de correio.