Selon 404 Media, la plateforme d’« erotic roleplay » et de génération d’images SecretDesires.ai a laissé des conteneurs Microsoft Azure Blob non sécurisés exposant près de 1,8 million de fichiers (images et vidéos), avant de couper l’accès après notification par le média.

🔓 Incident et périmètre de l’exposition

  • Des liens vers des images/vidéos étaient accessibles publiquement via des conteneurs Azure non authentifiés, y compris des fichiers XML listant les URLs.
  • Conteneurs concernés: « removed images » (~930 000 images), « faceswap » (~50 000 images) et « live photos » (~220 000 vidéos), pour un total d’environ 1,8 million de fichiers (avec duplications possibles).
  • Après l’alerte envoyée par 404 Media, les fichiers sont devenus inaccessibles. La société (Playhouse Media, CEO: Jack Simmons) n’a pas répondu aux questions.

📦 Nature des données exposées et usages

  • Les datasets contiennent majoritairement de vraies photos de femmes (adultes, célébrités, influenceuses, anonymes), souvent issues des réseaux sociaux, parfois avec nom et prénom complets dans les noms de fichiers.
  • Le conteneur « live photos » regroupe des vidéos pornographiques générées par IA (hardcore) ; plusieurs semblent présenter des personnes très jeunes d’apparence.
  • Des prompts visibles dans des noms de fichiers suggèrent la génération d’images d’adolescentes, malgré l’interdiction affichée par la plateforme.

🧠🤖 Fonctionnalités, calendrier et décalage avec les promesses de sécurité

  • SecretDesires.ai proposait un « face swapping » payant (abonnements 7,99 à 19,99 $/mois), retiré début 2025 (derniers fichiers « faceswap »: avril 2025). Des échanges sur Reddit/Discord confirment le retrait, bien que la fonctionnalité ait été listée jusqu’au 3 novembre ; au 11 novembre, elle n’était plus mentionnée. La clonage de voix reste proposé.
  • Le site revendique chiffrement de bout en bout, stockage sécurisé et contrôles d’accès stricts, contredits par cette exposition de conteneurs Azure.

📣 Contexte d’usage et risques sociaux

  • Marketing agressif (YouTube) promettant des avatars sexuels de personnes réelles (« AI girls never say no », « cette fille de la salle de sport », célébrités, etc.), ciblant surtout de jeunes hommes.
  • 404 Media rappelle que ces outils sont facilement accessibles, utilisés par harceleurs et mineurs, et que les deepfakes sexuels non consentis causent des dégâts personnels et professionnels aux victimes.

📌 IOCs et TTPs

  • IOCs:
    • Domaine/service: secretdesires.ai
    • Stockage: Microsoft Azure Blob (conteneurs « removed images », « faceswap », « live photos »)
  • TTPs:
    • Mauvaise configuration de stockage cloud (conteneurs Azure publics/non authentifiés)
    • Exposition de données sensibles (liens/URLs listés dans XML accessibles)
    • Conservation de contenus générés et d’uploads utilisateurs sans protection adéquate

Il s’agit d’un article de presse spécialisé visant à exposer une fuite/exposition de données et à documenter les usages réels d’un service d’IA générative à caractère sexuel.

🔗 Source originale : https://www.404media.co/ai-porn-secret-desires-chatbot-face-swap/