Une app IA Android sur le Play Store expose plus de 12 To de selfies et vidéos utilisateurs

Des chercheurs de Cybernews ont découvert qu’un dossier de stockage sur Google Cloud, lié à l’application Video AI Art Generator & Maker, était accessible sans authentification depuis juin 2023. Développée par Codeway Dijital Hizmetler Anonim Şirketi, société turque, cette app permet de générer photos et vidéos via intelligence artificielle. Le bucket mal configuré — sans mot de passe ni identifiants — a exposé plus de 12 To de données multimédias pendant huit mois environ, jusqu’en février 2024. Cette brèche s’inscrit dans un historique problématique pour l’éditeur. Les applications de Codeway Dijital Hizmetler Anonim Şirketi, publiées parfois sous Deep Flow Software Services Fzco aux Émirats arabes unis, cumulent plus de 10 millions de téléchargements. Une autre app du groupe, Chat & Ask AI, aurait déjà exposé 300 millions de messages de 25 millions d’utilisateurs via un backend mal sécurisé, antérieur. Ces incidents répétés soulignent les risques des stockages cloud publics pour les apps manipulant des médias personnels. Les chercheurs ont recensé 8,27 millions de fichiers, dont 1,57 million de selfies et photos personnelles, et plus de 385 000 vidéos privées issues des appareils utilisateurs. Près de 2 millions de ces contenus multimédias étaient potentiellement accessibles à quiconque connaissait l’adresse du dossier. Contactée par Cybernews, l’entreprise a sécurisé l’accès, sans déclaration officielle. Les utilisateurs de ces apps devraient vérifier leurs paramètres de confidentialité et limiter le partage de données sensibles. Google pourrait renforcer ses audits sur les stockages cloud des développeurs Play Store pour prévenir de telles expositions massives.