Une app de conseil de drague par IA fait fuiter plus de 160 000 conversations privées
Les développeurs sont nombreux à se jeter sur l’IA sans forcément prendre en compte tous les risques que cela implique côté sécurité. Dernier exemple en date : une app visant à donner des conseils de drague a laissé accessible un énorme paquet de captures d’écrans, incluant des conversations privées ou des profils de sites de rencontre. Baptisée « FlirtAI - Get Rizz & Dates », elle proposait aux utilisateurs d’envoyer une copie de leurs discussions afin de prodiguer des conseils personnalisés.

L’app incitait les utilisateurs à partager une capture de leurs discussions avant de générer des réponses grâce à un clavier spécial. Elle proposait également d’analyser les profils pour mieux adapter ses réponses. La faille a été remarquée par Cybernews, qui indique être tombée sur un espace Google Cloud détenu par le développeur iOS Buddy Network GmbH. Non sécurisé, il contenait plus de 160 000 captures d’écran.
« En raison de la nature de l'application, les personnes les plus touchées par la fuite peuvent ne pas savoir que des captures d'écran de leurs conversations existent, et encore moins qu'elles pourraient être diffusées sur internet », expliquent les chercheurs de Cybernews. La faille a depuis été colmatée et contenait aussi des photos provenant de plateformes comme Snapchat ou Instagram.
L’affaire est grave étant donné qu’elle concerne des adolescents, plus vulnérables, mineurs et ayant potentiellement des problèmes de confiance en soi. Elle pose également la question d’un éventuel pistage, des informations très privées pouvant être indiquées sur les captures. Les développeurs tentent de se dédouaner dans leur app, déclarant que les utilisateurs sont autorisés à envoyer une capture d’écran seulement s’ils ont « obtenu les approbations nécessaires de tous les utilisateurs/humains et de leurs informations mentionnées ». L’app et toutes celles du développeur ont visiblement été supprimées dans la foulée. Buddy Network GmbH est basée à Berlin, et est donc soumise au RGPD.