AI-apps in de Google Play Store lekken miljoenen klantgegevens en foto's: dit moet je weten

In dit artikel:

Onderzoekers van Cybernews hebben aangetoond dat meerdere onbeveiligde of ongevraagde AI-apps in de Google Play Store grote hoeveelheden persoonlijke data prijsgeven, doordat ontwikkelaars slecht geconfigureerde cloudopslag en onveilige coderingspraktijken gebruiken. Een recente vondst betreft de Android-app "Video AI Art Generator & Maker": door een verkeerd ingestelde Google Cloud Storage-bucket waren ongeveer 1,5 miljoen gebruikersafbeeldingen, meer dan 385.000 video's en miljoenen door AI gemaakte mediabestanden (in totaal ruim 12 TB) toegankelijk voor derden. Die app was ongeveer 500.000 keer gedownload voordat het lek werd gedicht.

Een andere getroffen app, IDMerit, maakte klantgegevens van gebruikers in 25 landen (voornamelijk de VS) openbaar — inclusief volledige namen, adressen, geboortedata, identiteitsdocumenten en contactinformatie — goed voor ongeveer een terabyte aan data. Beide ontwikkelteams verholpen de lekken nadat onderzoekers hen hadden gewaarschuwd.

Cybersecurity-experts waarschuwen dat deze incidenten geen uitzondering zijn: veel AI-apps bewaren zowel door gebruikers geüploade bestanden als door AI gegenereerde content en gebruiken soms het risicovolle patroon van "hardcoding secrets" (zoals API-sleutels of wachtwoorden direct in de broncode). Cybernews vond dat circa 72% van de honderden geanalyseerde Play‑apps vergelijkbare zwakheden vertoonde. De conclusie is dat gebrekkige beveiliging bij AI-apps een wijdverbreid privacy- en veiligheidsrisico vormt, met mogelijke gevolgen zoals identiteitsdiefstal en misbruik van gevoelige documenten. Gebruikers wordt aangeraden kritisch te zijn bij het kiezen van AI-apps en ontwikkelaars moeten opslag- en sleutelbeheer verbeteren.