Een aanzienlijk datalek waarbij twee AI-begeleidende applicaties betrokken waren, Chattee Chat en GiMe Chat, heeft meer dan 43 miljoen privéberichten blootgelegd. Het incident, ontdekt door de cybersecurity-onderzoeksgroep Cybernews, lekte ook meer dan 600.000 afbeeldingen en video’s, wat de beveiligingskwetsbaarheden benadrukt die aanwezig zijn wanneer gebruikers persoonlijke interacties aan AI-platforms toevertrouwen. De ontwikkelaar achter de apps is het in Hongkong gevestigde bedrijf Imagime Interactive Limited.
Op 28 augustus 2025 identificeerden onderzoekers van Cybernews een openbaar gemaakte Kafka Broker-server die werd beheerd door Imagime Interactive Limited. De server had geen enkele beveiligingsbescherming, wat betekent dat er geen authenticatievereisten of toegangscontroles waren. Door dit gebrek aan beveiliging had iedereen toegang tot de gegevens die het bevatte. De server streamde actief realtime gesprekken tussen gebruikers en hun AI-metgezellen. De blootgestelde gegevens omvatten niet alleen op tekst gebaseerde berichten, maar ook directe links naar persoonlijke foto’s, video’s en door AI gegenereerde afbeeldingen die binnen de apps werden uitgewisseld. Onderzoekers beschreven een deel van de blootgestelde inhoud als ‘vrijwel niet veilig voor het werk’, wat wijst op de intieme en gevoelige aard van de gelekte informatie.
De inbreuk trof in totaal 400.000 gebruikers op zowel iOS- als Android-platforms. Volgens het onderzoek was ongeveer tweederde van de blootgestelde gegevens afkomstig van iOS-gebruikers, terwijl het resterende een derde afkomstig was van gebruikers op Android-apparaten. De meerderheid van de door het lek getroffen personen bevond zich in de Verenigde Staten.
Hoewel de gelekte gegevens geen volledige namen of e-mailadressen bevatten, bevatten deze wel andere belangrijke identificatiegegevens, waaronder IP-adressen van gebruikers en unieke apparaat-ID’s. Deze informatie kan worden vergeleken met andere gegevensbronnen om individuen te volgen en mogelijk te identificeren. Uit de analyse bleek dat gebruikers gemiddeld 107 berichten naar hun AI-partners stuurden. Deze activiteit creëerde voor elke gebruiker een substantiële digitale voetafdruk, met daarin persoonlijke gedachten en interacties die kunnen worden gebruikt voor kwaadaardige doeleinden, zoals identiteitsdiefstal, gerichte intimidatie of chantage.
Uit het onderzoek kwamen ook financiële details aan het licht. Uit aankooplogboeken in de openbaar gemaakte gegevens bleek dat sommige gebruikers aanzienlijke hoeveelheden geld aan de apps hebben uitgegeven, waarbij individuele uitgaven oplopen tot wel $ 18.000 voor interactie met hun AI-metgezellen. Er wordt geschat dat de ontwikkelaar meer dan $1 miljoen aan inkomsten uit deze applicaties had verdiend voordat het datalek werd ontdekt. In haar privacybeleid verklaarde Imagime Interactive Limited dat gebruikersveiligheid “van het allergrootste belang” was. Het volledig ontbreken van authenticatiemaatregelen op de server is echter in directe tegenspraak met deze bewering, wat een kritiek falen aan het licht brengt bij het implementeren van basisveiligheidsmaatregelen voor gevoelige gebruikersgegevens.
Toen Cybernews de kwetsbaarheid ontdekte, rapporteerde het probleem onmiddellijk aan Imagime Interactive Limited. De onbeveiligde server werd uiteindelijk medio september offline gehaald. Vóór de verwijdering ervan stond de server vermeld op openbare IoT-zoekmachines, platforms die op internet aangesloten apparaten indexeren. De aanwezigheid ervan op deze zoekmachines maakte het gemakkelijk vindbaar voor cybercriminelen die actief op zoek waren naar kwetsbare systemen. Het blijft onduidelijk of kwaadwillende actoren toegang hebben gekregen tot de gecompromitteerde gegevens voordat de server was beveiligd. De kans op schade blijft bestaan, aangezien gedownloade gesprekken en afbeeldingen nog steeds kunnen worden gebruikt om sextortion-fraude en phishing-aanvallen mogelijk te maken of om aanzienlijke reputatieschade voor de getroffen gebruikers te veroorzaken.
Als reactie op de inbreuk schetsten cybersecurity-experts verschillende tips voor gebruikers om hun gegevens te beschermen bij het gebruik van AI-toepassingen.
- Denk na voordat u iets deelt: gebruikers moeten vermijden dat ze persoonlijke of gevoelige inhoud verzenden via AI-chatapplicaties. Zodra gegevens worden gedeeld, gaat de controle erover feitelijk verloren.
- Gebruik gerenommeerde AI-tools: het wordt aanbevolen om applicaties te kiezen van ontwikkelaars met een transparant privacybeleid en een bewezen staat van dienst op het gebied van krachtige beveiligingsmaatregelen.
- Verwijder uw gegevens online: het gebruik van een gegevensverwijderingsservice kan u helpen persoonlijke informatie uit openbare databases te verwijderen. Hoewel dit geen volledige oplossing is, kan het de informatie die beschikbaar is voor oplichters beperken.
- Versterk uw cyberbeveiliging met krachtige antivirussoftware: Het installeren van gerenommeerde antivirussoftware biedt een verdedigingslaag door oplichting te blokkeren, indringers te detecteren en gebruikers te waarschuwen voor phishing-pogingen.
- Bescherm uw accounts met een wachtwoordbeheerder en MFA: Het gebruik van een wachtwoordbeheerder voor sterke, unieke wachtwoorden en het inschakelen van multi-factor authenticatie (MFA) zijn cruciale stappen om ongeautoriseerde accounttoegang te voorkomen.
Dit datalek herinnert ons eraan dat AI-chatapplicaties enorme hoeveelheden zeer gevoelige gegevens opslaan. Wanneer deze gegevens in gevaar komen, kan dit ernstige gevolgen hebben, waaronder chantage, nabootsing van identiteit en publieke schaamte. Het incident onderstreept de noodzaak van strengere beveiligingsnormen en grotere verantwoordelijkheid binnen de groeiende AI-companion-industrie. Voor gebruikers is het ontwikkelen van bewustzijn over hoe hun gegevens worden verwerkt en beschermd een cruciale eerste stap om te voorkomen dat persoonlijke informatie online wordt vrijgegeven.
