Penelitian tim keamanan Cybernews mengungkap dua aplikasi Android berbasis kecerdasan buatan (AI) mengekspos jutaan data pribadi pengguna akibat konfigurasi server yang keliru. Data yang terbuka mencakup gambar, video, serta informasi identitas yang seharusnya bersifat privat.
Menurut temuan tersebut, kedua aplikasi yang tersedia di Google Play Store dan dikembangkan oleh pengembang yang sama menyimpan data pengguna di bucket penyimpanan awan tanpa autentikasi yang memadai. Kondisi itu membuat data bisa diakses oleh pihak yang mengetahui alamat direktori penyimpanan, sehingga memungkinkan pengunduhan tanpa persetujuan pengguna.
Aplikasi pertama yang teridentifikasi adalah Video AI Art Generator & Maker, yang digunakan untuk mengubah foto dan video menjadi karya seni AI. Dalam bucket Google Cloud yang tidak terlindungi, peneliti menemukan lebih dari 1,5 juta foto asli pengguna, lebih dari 385.000 video pribadi, serta jutaan file media hasil proses AI. Total data yang terekspos diperkirakan melampaui 12TB sejak aplikasi tersebut dirilis pada Juni 2023.
Selain itu, peneliti juga menemukan aplikasi lain bernama IDMerit yang membuka akses terhadap data Know Your Customer (KYC) dan informasi identitas pribadi pengguna di lebih dari 25 negara, terutama Amerika Serikat. Informasi yang terekspos mencakup nama lengkap, alamat, tanggal lahir, nomor identitas, serta data kontak—jenis data yang lazim diminta dalam proses verifikasi identitas layanan digital.
Cybernews menyatakan bahwa setelah temuan ini terungkap, tim peneliti berhasil menghubungi pengembang dan konfigurasi penyimpanan yang bermasalah telah diperbaiki. Meski demikian, insiden ini dinilai menjadi pengingat bahwa sejumlah aplikasi AI masih memiliki celah keamanan serius yang berpotensi dimanfaatkan pihak tidak bertanggung jawab untuk mengakses data sensitif.
Pakar keamanan digital menilai kasus tersebut mencerminkan risiko yang lebih luas di ekosistem aplikasi Android, khususnya pada aplikasi yang memanfaatkan teknologi AI namun tidak menerapkan perlindungan data secara tepat. Mereka juga menyoroti praktik penyimpanan rahasia yang dikodekan secara permanen atau hardcoded secrets, seperti kunci API yang disisipkan langsung dalam kode, yang dapat membuka peluang akses tidak sah ke layanan cloud.
Pengguna Android diimbau lebih berhati-hati saat memilih aplikasi AI, terutama yang meminta izin untuk mengakses data sensitif atau menyimpan hasil unggahan di server pihak ketiga. Pengguna juga disarankan memeriksa ulasan serta reputasi pengembang sebelum memberikan data pribadi melalui aplikasi semacam itu.
