Le vulnerabilità di sicurezza nelle aziende e nei loro utenti hanno spesso un'origine comune: errori di configurazione, un problema molto più diffuso di quanto si pensi. La crescita esplosiva delle applicazioni mobili di Intelligenza Artificiale (IA), che attraggono milioni di utenti, moltiplica l'impatto di questi falli. Google Firebase, una piattaforma di sviluppo di app mobili che offre servizi cloud come database, autenticazione e analisi, è stata protagonista di un recente incidente. Un esperto di cybersecurity ha rilevato che una configurazione errata in Firebase permetteva a chiunque di autenticarsi e accedere allo storage interno di alcune applicazioni, esponendo dati sensibili degli utenti. Il caso è emerso dopo un'indagine di 404 Media, che ha rivelato la vulnerabilità in Chat&Ask AI, una delle app di IA più popolari su Google Play e App Store, sviluppata dall'azienda turca Codeway. Con oltre 50 milioni di utenti, l'app ha lasciato esposti centinaia di milioni di messaggi privati. L'esperto ha dichiarato di aver avuto accesso a 300 milioni di messaggi di oltre 25 milioni di utenti, estraendo e analizzando un campione significativo. Codeway ha risolto il problema in poche ore in tutte le sue applicazioni. La gravità dell'incidente aumenta considerando che molti messaggi contenevano informazioni estremamente sensibili, come domande sulla salute mentale, suicidio, droghe o hacking di applicazioni. Tra i dati esposti figuravano storici completi di chat, timestamp, nomi personalizzati di chatbot e la configurazione dei modelli di IA utilizzati, tra cui ChatGPT, Claude e Gemini. Questo tipo di errore di configurazione è frequente in Firebase, poiché lascia le regole di sicurezza aperte e consente a chiunque abbia l'URL del progetto di leggere, modificare o eliminare dati senza autenticazione. Nonostante gli avvertimenti degli esperti, la situazione persiste: il ricercatore ha trovato la stessa vulnerabilità in 103 delle 200 app iOS analizzate, il che implica decine di milioni di file a rischio. Sorprende che, dopo un incidente simile nel 2024 che ha esposto quasi 20 milioni di segreti, gli sviluppatori continuino a commettere questi errori. In quel caso, configurazioni errate hanno permesso l'accesso a credenziali, chiavi API e altri dati riservati. Per aiutare a identificare le app vulnerabili, l'esperto ha lanciato Firehound, un sito web che elenca le applicazioni colpite e le rimuove quando i loro sviluppatori correggono il problema. Inoltre, va ricordato che a luglio 2025 è stato scoperto che Google indicizzava conversazioni di ChatGPT condivise, rendendole pubbliche, sebbene questo problema sia già stato risolto. Oltre alla cybersecurity, questa scoperta sottolinea l'urgenza di regolamentare le applicazioni di IA, poiché tra i dati esposti c'erano domande sul suicidio, ricette di droghe e disinformazione. Le app di salute mentale non possono sostituire professionisti qualificati e il loro uso può aggravare problemi, oltre a mettere a rischio la privacy degli utenti. L'anno scorso, il New York Times ha documentato come i chatbot di IA possano influenzare negativamente la vita delle persone, citando casi in cui ChatGPT avrebbe influenzato decisioni fatali. Questi fatti rafforzano l'urgenza di limitare le capacità e l'uso dell'IA per proteggere gli utenti. (Fonte: publico.es)