Dati limitati del creatore di Canva esposti tramite il database di chatbot AI

Un database Chroma gestito dalla startup russa di chatbot di intelligenza artificiale My Jedai è stato scoperto online, rivelando le risposte ai sondaggi di oltre 500 utenti di Canva Creators. I dati esposti includevano indirizzi email, feedback sul programma Creator di Canva e approfondimenti personali sulle esperienze di designer in oltre una dozzina di paesi.

L'esposizione dei dati è stata scoperta dall'azienda di sicurezza informatica UpGuard, che ha confermato che il database era accessibile al pubblico e privo di autenticazione. Sebbene gran parte del database contenesse dati generici o pubblici, una raccolta in particolare si è distinta: conteneva le risposte a un sondaggio dettagliato inviato a Canva Creators, un gruppo globale di collaboratori alla piattaforma di design.

I dati del sondaggio includevano 571 indirizzi email univoci e risposte dettagliate a 51 domande, che trattavano argomenti come royalties, esperienza utente e adozione dell'intelligenza artificiale. Alcuni indirizzi email apparivano più volte, a indicare che gli utenti avevano completato il sondaggio più di una volta.

Secondo il rapporto di UpGuard condiviso con Hackread.com prima della pubblicazione di lunedì, questo incidente è la prima fuga di notizie nota che coinvolge un database Chroma, una tecnologia utilizzata per aiutare i chatbot a fare riferimento a documenti specifici quando rispondono alle query.

Il database, ospitato su un indirizzo IP in Estonia, sembrava essere controllato da My Jedai, una piccola azienda russa che fornisce servizi di chatbot basati su intelligenza artificiale. Gli utenti della piattaforma possono caricare documenti di qualsiasi tipo per alimentare i loro chatbot, spesso senza troppa supervisione tecnica.

La presenza di dati Canva in questo contesto ha sollevato interrogativi su come le informazioni sensibili finiscano nei sistemi di addestramento dell'intelligenza artificiale o nei backend dei chatbot. Sebbene Chroma non sia intrinsecamente insicuro, richiede una configurazione adeguata per evitare l'esposizione al pubblico. In questo caso, il database è stato lasciato completamente accessibile a Internet.

Canva ha risposto alle scoperte con una dichiarazione ad Hackread:

"Di recente siamo venuti a conoscenza del fatto che un file contenente indirizzi email e risposte a sondaggi di un piccolo gruppo di creatori di Canva è stato caricato su un sito web di terze parti. Le informazioni non erano in alcun modo collegate agli account Canva o ai dati della piattaforma. Il database di proprietà del sito di terze parti non era adeguatamente protetto, il che ha reso le informazioni accessibili."

Il problema ci è stato segnalato da un ricercatore di sicurezza, che ha scoperto le informazioni esposte utilizzando strumenti specializzati, ma non sono ampiamente accessibili agli utenti Internet abituali, né sono state indicizzate dai motori di ricerca più diffusi. Abbiamo confermato che il contenuto del file è stato rimosso e i registri del sito mostrano che non vi hanno avuto accesso altri.

Abbiamo già contattato i Creator interessati e stiamo adempiendo a tutti i nostri obblighi legali, inclusa la notifica alle autorità di regolamentazione ove richiesto. Ci impegniamo a fondo per garantire la sicurezza dei dati della nostra community e stiamo rivedendo le nostre procedure per contribuire a impedire che ciò accada di nuovo.

-Portavoce di Canva

Sebbene non vi siano indicazioni di un uso improprio dei dati, gli esperti sottolineano che anche informazioni personali limitate, combinate con i contenuti del sondaggio, possono essere utili per tentativi di phishing mirati. Gli intervistati hanno condiviso dettagli sui loro ruoli professionali, sulle loro abitudini creative e sul livello di soddisfazione con la piattaforma Canva, informazioni che potrebbero essere sfruttate se finite nelle mani sbagliate.

My Jedai, l'azienda il cui database è stato esposto, è una microimpresa fondata in Russia. Permette agli utenti di creare chatbot basati sui propri documenti. L'azienda è intervenuta rapidamente dopo la notifica e ha messo in sicurezza il database esposto entro un giorno dalla segnalazione di UpGuard.

La fuga di notizie mostra come le tecnologie di intelligenza artificiale stiano creando nuovi e imprevedibili canali per l'esposizione dei dati. Con l'adozione da parte di sempre più aziende di strumenti come Chroma per alimentare bot rivolti ai clienti o assistenti interni, la pressione di dover inserire dati in questi sistemi può portare a scorciatoie ed errori.

Questo caso evidenzia anche quanto gli strumenti di intelligenza artificiale siano ampiamente utilizzati in tutto il mondo, spesso in modi inaspettati. I dati raccolti in sondaggi condotti da un colosso tecnologico australiano sono finiti in un database non protetto gestito da una piccola azienda russa, ospitato su server in Estonia. Con il crescente utilizzo di LLM e di chatbot di terze parti, i confini tradizionali per la custodia dei dati stanno diventando più difficili da tracciare.

UpGuard ha osservato che molti dei documenti presenti nel database erano innocui o addirittura privi di senso, tra cui "dottrine mistiche" e consigli romantici copiati da siti web pubblici come Marie Claire e WikiHow.

Tuttavia, la presenza di dati aziendali reali, tra cui trascrizioni di chat interne e link a piattaforme di condivisione file riservate, dimostra quanto sia facile che contenuti più sensibili si insinuino nei sistemi di intelligenza artificiale senza un'adeguata protezione.