Sınırlı Canva Creator Verileri AI Chatbot Veritabanı Aracılığıyla Açığa Çıkarıldı

Rus AI sohbet robotu girişimi My Jedai tarafından işletilen bir Chroma veritabanı, 500'den fazla Canva Oluşturucusundan gelen anket yanıtlarını sızdırarak çevrimiçi olarak ifşa edildi. İfşa edilen veriler arasında e-posta adresleri, Canva'nın Oluşturucu Programı hakkında geri bildirimler ve bir düzineden fazla ülkedeki tasarımcıların deneyimlerine ilişkin kişisel içgörüler yer aldı.

Veri ifşası, veritabanının herkese açık olduğunu ve kimlik doğrulamasının olmadığını doğrulayan siber güvenlik firması UpGuard tarafından keşfedildi. Veritabanının büyük kısmı genel veya herkese açık verileri depolarken, belirli bir koleksiyon öne çıktı: Tasarım platformuna içerik katkıda bulunan küresel bir grup olan Canva Creators'a verilen ayrıntılı bir ankete verilen yanıtları içeriyordu.

Anket verileri 571 benzersiz e-posta adresi ve telif hakları, kullanıcı deneyimi ve yapay zeka benimsemesi gibi konuları kapsayan 51 soruya verilen ayrıntılı yanıtları içeriyordu. Bazı e-posta adresleri birden fazla kez göründü ve kullanıcıların anketi birden fazla kez tamamladığını gösteriyordu.

Hackread.com ile pazartesi günü yayımlanmadan önce paylaşılan UpGuard raporuna göre, bu olay, sohbet robotlarının sorgulara yanıt verirken belirli belgelere başvurmasına yardımcı olan bir teknoloji olan Chroma veritabanıyla ilgili bilinen ilk sızıntı.

Estonya'daki bir IP adresinde barındırılan veritabanı, AI sohbet robotu hizmetleri sağlayan küçük bir Rus şirketi olan My Jedai tarafından kontrol ediliyor gibi görünüyor. Platformun kullanıcıları, genellikle çok fazla teknik denetim olmadan, sohbet robotlarını güçlendirmek için her türden belgeyi yükleyebilir.

Bu bağlamda Canva verilerinin varlığı, hassas bilgilerin AI eğitim sistemlerine veya chatbot arka uçlarına nasıl ulaştığına dair soruları gündeme getirdi. Chroma doğası gereği güvensiz olmasa da, kamuya açık hale gelmesini önlemek için uygun yapılandırma gerektirir. Bu durumda, veritabanı internete tamamen açık bırakıldı.

Canva, bulgulara Hackread'e yaptığı bir açıklamayla yanıt verdi:

“Yakın zamanda, küçük bir Canva Oluşturucuları grubunun e-posta adreslerini ve anket yanıtlarını içeren bir dosyanın üçüncü taraf bir web sitesine yüklendiğinin farkına vardık. Bilgiler hiçbir şekilde Canva hesaplarıyla veya platform verileriyle bağlantılı değildi. Üçüncü taraf siteye ait veritabanı yeterince güvenli değildi ve bu da bilgilerin erişilebilir olmasına yol açtı.”

"Sorun, uzman araçlar kullanarak ifşa edilen bilgileri keşfeden bir güvenlik araştırmacısı tarafından bize bildirildi, ancak bu bilgiler normal internet kullanıcıları tarafından genel olarak erişilebilir değildi ve popüler arama motorları tarafından da dizine eklenmemişti. Dosya içeriklerinin kaldırıldığını doğruladık ve site günlükleri, başkaları tarafından erişilmediğini gösteriyor."

"Etkilenen Yaratıcılarla zaten iletişime geçtik ve düzenleyicileri gerektiği yerde bilgilendirmek de dahil olmak üzere tüm yasal yükümlülüklerimizi yerine getiriyoruz. Topluluğumuzun verilerini güvende ve emniyette tutmak için çok yatırım yaptık ve bunun tekrar olmasını önlemek için süreçlerimizi gözden geçiriyoruz."

-Canva sözcüsü

Verilerin kötüye kullanıldığına dair bir belirti olmasa da uzmanlar, anket içeriğiyle birleştirilen sınırlı kişisel bilgilerin bile hedefli kimlik avı girişimleri için yararlı olabileceğini belirtiyor. Katılımcılar, profesyonel rolleri, yaratıcı alışkanlıkları ve Canva platformundan duydukları memnuniyet hakkında ayrıntılar paylaştılar; bu bilgiler yanlış ellere geçerse istismar edilebilir.

Veritabanı ifşa edilen şirket olan My Jedai, Rusya'da kurulmuş bir mikro girişimdir. Kullanıcıların kendi belgeleriyle çalışan sohbet robotları oluşturmalarına olanak tanır. Şirket, bildirim aldıktan sonra hemen harekete geçti ve UpGuard'ın erişiminden bir gün sonra ifşa edilen veritabanını güvence altına aldı.

Sızıntı, AI teknolojilerinin veri ifşası için nasıl yeni, öngörülemez kanallar yarattığını gösteriyor. Daha fazla şirket, müşteriye bakan botları veya dahili asistanları güçlendirmek için Chroma gibi araçları benimsedikçe, bu sistemlere veri gönderme baskısı kısayollara ve hatalara yol açabilir.

Bu vaka ayrıca AI araçlarının dünya çapında ne kadar yaygın bir şekilde, sıklıkla beklenmedik şekillerde kullanıldığını da vurguluyor. Avustralyalı bir teknoloji devi tarafından anketlerde toplanan veriler, Estonya'daki sunucularda barındırılan küçük bir Rus firması tarafından yönetilen güvenli olmayan bir veritabanında son buldu. LLM'lerin ve üçüncü taraf sohbet robotu araçlarının kullanımının artmasıyla, veri saklama için geleneksel sınırların izlenmesi zorlaşıyor.

UpGuard, veritabanındaki belgelerin çoğunun zararsız hatta anlamsız olduğunu, bunların arasında Marie Claire ve WikiHow gibi kamuya açık internet sitelerinden toplanan "mistik doktrinler" ve romantik tavsiyeler de bulunduğunu belirtti.

Ancak şirket içi sohbet kayıtları ve kısıtlı dosya paylaşım platformlarına bağlantılar gibi gerçek dünyadaki kurumsal verilerin varlığı, daha hassas içeriklerin uygun koruma olmadan yapay zeka sistemlerine sızmasının ne kadar kolay olduğunu gösteriyor.