Платформы Lovable, Base44, Replit и Netlify предлагают всем желающим за считанные секунды создавать при помощи искусственного интеллекта сайты и публиковать их — на тысячах таких ресурсов в общий доступ попадают конфиденциальные данные, пишет Wired со ссылкой на специализирующуюся в области кибербезопасности компанию RedAccess.
Источник изображения: Mohammad Rahmani / unsplash.com
Эксперты изучили несколько тысяч сгенерированных ИИ сайтов и обнаружили, что более 5000 из них не имеют какой-либо защиты и даже лишены механизмов аутентификации. При наличии одного лишь адреса сайта во многих случаях оказалось возможным получить доступ к программной части и файлам данных; некоторые открывали эти данные после авторизации с помощью любого адреса электронной почты. Около 40 % ресурсов раскрывали конфиденциальную информацию.
Найти такие сайты оказалось несложно: Lovable, Replit, Base44 и Netlify размещают их на собственных поддоменах, а не только по адресам клиентов — достаточно было произвести поиск в Google и Bing с указанием этих поддоменов и других нехитрых запросов. Исследователи обнаружили рабочие планы медицинских учреждений с личной информацией врачей, подробную информацию о закупке рекламы, записи о продажах и грузоперевозках, переписки продавцов с клиентами, содержащие полные имена и контактную информацию последних и многое другое. В ряде случаев исследователи без особого труда получили привилегии администраторов на этих сайтах.
На платформе Lovable было обнаружено множество фишинговых ресурсов, выполненных в стиле официальных сайтов Bank of America, Costco, FedEx, Trader Joe’s и McDonald’s. В Netlify комментариев по поводу инцидента не дали; в Replit и Base44 заявили, что пользователи сами выбрали публикацию данных в общем доступе — его можно закрыть в настройках учётных записей клиентов. В Lovable сообщили, что проводят расследование по поводу обнаруженных на платформе поддельных фишинговых ресурсов.
Эксперты RedAccess связались с некоторыми клиентами этих платформ и сообщили им о выявленных уязвимостях. Некоторые из них поблагодарили специалистов в области кибербезопасности, после чего либо обеспечили защиту данных, либо удалили эти ресурсы. Выяснить, сколько аналогичных уязвимых сайтов размещаются на собственных доменах компаний, не удалось. Ситуация будет только усугубляться, считают эксперты: ИИ позволяет создавать не только сайты, но и генерирует код любых других приложений — и эти приложения зачастую оказываются не менее уязвимыми.