Un’app Android dedicata alla generazione di contenuti multimediali tramite intelligenza artificiale ha esposto online oltre 1,5 milioni di immagini caricate dagli utenti e più di 385.000 video, rendendoli accessibili pubblicamente. La vulnerabilità, individuata dai ricercatori di Cybernews, riguarda l’app “Video AI Art Generator & Maker”, disponibile su Google Play con più di 500.000 download e una valutazione media di 4,3 stelle. La causa della fuga di dati è una configurazione errata di un bucket Google Cloud Storage, che consentiva l’accesso ai file senza alcuna forma di autenticazione.
Oltre 12 terabyte di contenuti esposti
Secondo l’analisi, il bucket cloud ha archiviato e reso accessibili tutti i file caricati fin dal lancio dell’app, avvenuto il 13 giugno 2023. Il file più datato risale a tre giorni prima del rilascio ufficiale. Nel complesso, l’archivio conteneva circa 8,27 milioni di file multimediali, per un totale superiore a 12 terabyte di dati.
Tra i contenuti esposti figurano:
– 2,87 milioni di video generati tramite AI
– oltre 386.000 file audio generati con AI
– 2,87 milioni di immagini generate con AI
– oltre 385.000 video caricati dagli utenti
– oltre 1,57 milioni di immagini caricate dagli utenti
Si tratta di materiale che in molti casi include contenuti personali e potenzialmente sensibili, caricati con l’aspettativa di restare privati.
Un problema strutturale nelle app AI
Le app di generazione multimediale basate su AI conservano spesso sia i file originali caricati dagli utenti sia le versioni elaborate. In questo caso, l’assenza di protezione sul bucket cloud ha reso entrambi accessibili a chiunque conoscesse l’indirizzo dell’archivio. Secondo i ricercatori, il caso dimostra come alcune piattaforme AI privilegino la rapidità di sviluppo rispetto alla sicurezza, con l’omissione di misure basilari come l’abilitazione dell’autenticazione per l’accesso ai dati archiviati. Non si tratta di un episodio isolato. Una precedente indagine di Cybernews aveva già evidenziato come altre app AI, con oltre due milioni di download, avessero esposto anche coordinate GPS degli utenti.
Possibile violazione del GDPR
La fuga di dati potrebbe configurare una violazione del Regolamento Generale sulla Protezione dei Dati (GDPR), che impone ai titolari del trattamento l’adozione di misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali. Il GDPR stabilisce che i dati debbano essere trattati in modo da assicurare protezione contro accessi non autorizzati, perdita accidentale o distruzione. Un archivio cloud pubblicamente accessibile appare difficilmente compatibile con tali obblighi. Le sanzioni previste possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale importo sia superiore. Senza contare che, in Italia, potrebbero configurarsi i reati di deepfake o revenge porn, nel caso in cui vi sia materiale sensibile condiviso senza il consenso dei soggetti ritratti, o che questi siano minorenni.
Chi c’è dietro l’app
L’app è sviluppata da Codeway Dijital Hizmetler Anonim Sirketi, società privata registrata in Turchia. Alcune applicazioni del gruppo risultano pubblicate anche sotto il nome di Deep Flow Software Services Fzco, entità registrata negli Emirati Arabi Uniti. Complessivamente, le app riconducibili al gruppo superano i 10 milioni di download. Dopo diversi tentativi di contatto, la società ha messo in sicurezza l’archivio esposto il 3 febbraio 2026. Non risulta al momento un commento ufficiale.
In passato, un ricercatore indipendente aveva segnalato un’ulteriore configurazione errata in un’altra app sviluppata da Codeway, “Chat & Ask AI”, che avrebbe consentito l’accesso a circa 300 milioni di messaggi collegati a oltre 25 milioni di utenti, tramite un backend Google Firebase non protetto.
Le app AI Android e il problema dei segreti hardcoded
La ricerca su larga scala condotta da Cybernews evidenzia un quadro più ampio: il 72% delle app AI Android analizzate contiene almeno un segreto hardcoded, ovvero chiavi API, identificativi di progetto o endpoint inseriti direttamente nel codice dell’applicazione. In media, ogni app AI analizzata espone 5,1 segreti. Oltre l’81% dei segreti individuati risulta collegato a progetti Google Cloud, endpoint e chiavi API. Si tratta di pratiche note come altamente rischiose nel settore cybersecurity, ma ancora diffuse.
Cronologia della scoperta
L’indicizzazione iniziale del bucket risale al 2 dicembre 2025. L’analisi approfondita è avvenuta il 9 dicembre 2025. La segnalazione iniziale è stata inviata il 10 dicembre 2025. Il CERT è stato contattato il 16 dicembre 2025. L’accesso ai dati è stato chiuso il 3 febbraio 2026. Il caso evidenzia la rapidità con cui le piattaforme AI consumer possono accumulare enormi quantità di contenuti sensibili. Anche un’app con mezzo milione di download può arrivare a esporre terabyte di dati personali se la sicurezza dell’infrastruttura cloud non rispetta standard adeguati.
Aiutaci a crescere: lasciaci un like :)