Ексклюзив: Meta виправляє помилку, що могла розкрити запити та згенерований контент користувачів
1 min read

Ексклюзив: Meta виправляє помилку, що могла розкрити запити та згенерований контент користувачів

Плахотнюк Сергій0

Meta виправила вразливість у безпеці, яка дозволяла користувачам чат-бота Meta AI отримувати доступ до приватних запитів та відповідей, створених іншими користувачами.

Сандіп Ходкасія, засновник компанії AppSecure, яка займається тестуванням безпеки, повідомив, що Meta виплатила йому винагороду в розмірі 10 000 доларів за звіт про вразливість, поданий 26 грудня 2024 року.

За словами Ходкасії, Meta впровадила виправлення 24 січня 2025 року, і не було виявлено доказів того, що вразливість була зловмисно використана.

Ходкасія пояснив, що вразливість була ідентифікована під час вивчення механізму редагування запитів Meta AI з метою регенерації тексту та зображень. Він виявив, що при редагуванні запиту сервера Meta призначають запиту та його відповіді унікальний номер. Аналізуючи мережевий трафік у своєму браузері, Ходкасія зміг змінити цей унікальний номер, в результаті чого сервери Meta повернули запит та відповідь зовсім іншого користувача.

Вразливість вказувала на те, що сервери Meta не перевіряли належним чином, чи має користувач, який запитує запит та його відповідь, право на їх перегляд. Ходкасія зауважив, що номери запитів, генеровані серверами Meta, були “легко вгадуваними”, що потенційно дозволяло зловмисникам отримувати оригінальні запити користувачів, швидко змінюючи номери запитів за допомогою автоматизованих засобів.

Зазначаючи цю інформацію, Meta підтвердила виправлення помилки в січні та заявила, що “не виявила доказів зловживання та винагородила дослідника”, повідомив представник компанії Раян Деніелс.

Новина про вразливість з’являється в той час, коли великі технологічні компанії намагаються запустити та вдосконалити свої AI-продукти, незважаючи на численні ризики безпеки та конфіденційності, пов’язані з їх використанням.

Окрема програма Meta AI, яка була запущена раніше цього року для конкуренції з такими додатками, як ChatGPT, мала невдалий старт після того, як деякі користувачі випадково опублікували те, що вважали приватними розмовами з чат-ботом.

Related Posts