São Paulo — InkDesign News — Um banco de dados da Chroma, operado pela startup russa de chatbot My Jedai, foi encontrado exposto online, revelando respostas de pesquisa de mais de 500 Criadores da Canva.
Incidente e vulnerabilidade
A exposição dos dados foi descoberta pela empresa de cibersegurança UpGuard, que confirmou que o banco de dados estava acessível publicamente e carecia de autenticação. O banco de dados, hospedado em um endereço IP na Estônia, estava sob controle da My Jedai, permitindo que usuários carregassem documentos para alimentar seus chatbots sem a devida supervisão técnica. De acordo com o relatório da UpGuard, essa é a primeira violação conhecida envolvendo um banco de dados Chroma, que é utilizado para ajudar chatbots a referenciar documentos específicos em suas respostas.
Impacto e resposta
As informações expostas incluíam 571 endereços de e-mail e respostas detalhadas a 51 perguntas sobre royalties, experiência do usuário e adoção de inteligência artificial. Embora os dados não estivessem conectados a contas da Canva, a presença de informações pessoais em um contexto de inteligência artificial gera preocupações. Embora o banco de dados contenha muitos dados genéricos, a combinação de informações limitadas com conteúdo de pesquisa pode ser útil para tentativas de phishing.
“O escritório foi informado por um pesquisador de segurança, que descobriu as informações expostas usando ferramentas especializadas, mas não era muito acessível aos usuários comuns da internet.”
(“The issue was reported to us by a security researcher, who discovered the exposed information using specialist tools, but is not broadly accessible to regular internet users.”)— Porta-voz da Canva
Mitigações recomendadas
A Canva afirmou ter confirmado que o conteúdo do arquivo foi removido e que logs do site mostram que não foi acessado por terceiros. A empresa destacou que já entrou em contato com os Criadores afetados e está cumprindo todas as obrigações legais, incluindo notificações a reguladores, e reavaliando seus processos para evitar que tais incidentes se repitam. Além disso, a My Jedai agiu rapidamente para garantir o banco de dados exposto em menos de um dia após o contato da UpGuard.
“Estamos profundamente investidos em manter os dados da nossa comunidade seguros e protegidos.”
(“We’re deeply invested in keeping our community’s data safe and secure.”)— Porta-voz da Canva
Embora não haja indicações de que os dados tenham sido utilizados indevidamente, a situação revela os riscos de exposição de dados sensíveis em tecnologias emergentes. A pressão para utilizar soluções de inteligência artificial pode levar a erros de configuração que resultem em vazamentos significativos.
Fonte: (Hack Read – Segurança Cibernética)
