Fuite massive chez Chat & Ask AI : 300 M de messages exposés via une mauvaise config Firebase

Selon Malwarebytes, un chercheur indépendant a mis au jour une fuite de données à grande échelle touchant l’application Chat & Ask AI (50+ millions d’utilisateurs), imputable à une mauvaise configuration de Google Firebase.

• L’application, un « wrapper » permettant de choisir entre plusieurs LLMs (ChatGPT, Claude, Gemini), a laissé exposés des fichiers utilisateurs contenant l’historique complet des conversations, le modèle utilisé et d’autres paramètres. Le chercheur affirme avoir accédé à 300 millions de messages provenant de plus de 25 millions d’utilisateurs, incluant des échanges sur des activités illégales et des demandes d’aide au suicide. L’exposition concernait aussi des données d’utilisateurs d’autres apps de Codeway.

• La cause est une mauvaise configuration Firebase bien connue, notamment des Security Rules laissées en accès public, rendant bases de données et buckets accessibles sans authentification, avec lecture/écriture/suppression possibles via l’URL du projet.

• Pour mesurer l’ampleur du problème, le chercheur « Harry » a créé un outil de scan automatique des apps iOS/Android. Résultat annoncé : 103 sur 200 apps iOS testées présentaient le même défaut, exposant des dizaines de millions de fichiers. Il a publié un registre (site Firehound) listant les apps affectées. Les apps de Codeway n’y figurent plus, l’éditeur ayant corrigé l’incident en quelques heures après divulgation responsable.

• Conseils résumés par l’article pour limiter les risques lors de l’usage de chatbots IA :

  • Privilégier des chatbots privés qui n’utilisent pas vos données pour l’entraînement.
  • Ne pas s’en remettre aux chatbots pour des décisions critiques.
  • Anonymiser ses échanges (pas de vraie identité, ni documents personnels).
  • Garder les informations impersonnelles et éviter de partager les conversations.
  • Si l’IA est liée à un réseau social, ne pas y être connecté simultanément.

• TTPs observées/rapportées :

  • Mauvaise configuration Firebase (Security Rules publiques).
  • Exposition sans authentification de bases et stockages Firebase.
  • Scan automatisé des apps pour détecter des projets Firebase exposés.
  • Accès potentiel en lecture/modification/suppression via l’URL du projet.
  • IOCs : aucun indicateur spécifique fourni.

Il s’agit d’un article de presse spécialisé visant à exposer une fuite de données due à une mauvaise configuration Firebase et à sensibiliser au risque et aux mesures de protection.

🔗 Source originale : https://www.malwarebytes.com/blog/news/2026/02/ai-chat-app-leak-exposes-300-million-messages-tied-to-25-million-users