Cutout 是一种广受欢迎的人工智能（AI）图像编辑工具，近日遭到一起数据泄密事件，因而泄露了用户图像、用户名和电子邮件地址。这起事件凸显了使用基于云的 AI 工具处理敏感数据所带来的风险。

(相关资料图)

Cutout.pro 是一款基于互联网的 AI 图像编辑工具，近日被发现泄露了多达 9 GB 的用户数据，其中包含用户名和通过使用特定查询请求的图像。

这起安全事件是由 Cybernews 发现的，该安全网站发现了一个敞开的 ElasticSearch 实例含有 2200 万条引用用户名的日志条目，其中包括个人用户和企业帐户。

然而，由于日志条目含有重复项，受影响的用户总共有多少就不得而知。该实例还包含用户积分数量、虚拟游戏货币以及用来存储所生成图像的亚马逊 S3 存储桶的链接等方面的信息。

由于使用基于 AI 的工具蔚然成风，出现这样的事件应该不足为奇。AI 工具大行其道，这要拜 ChatGPT 大获成功所赐。ChatGPT 如此成功，以至于谷歌被迫发布了自己的 AI 工具：Bard AI。

这个总部位于中国香港的视觉设计平台允许用户使用基于 AI 的应用编程接口（API）来处理照片或生成图像。这项功能让用户可以将该公司的服务整合到第三方应用程序中。

正如研究人员特别指出，Cutout.pro 自称每个月收到全球超过 3 亿次的 API 请求，峰值期间每秒收到来自 5000 多个应用程序和网站的 4000 次请求，还声称与 25000 多家企业建立了合作伙伴关系。

因此，这起泄露造成的后果对于数据在此事件中泄露的客户来说可能是毁灭性的。据 Cybernews 报道，其团队还在这个敞开的数据库中发现了两款图像编辑应用程序：Vivid 和 AYAYA。

" 如果 Cutout.pro 的开发人员之前没有备份数据，这个敞开的实例不仅会导致暂时的拒绝服务，还会导致存储在这个敞开的实例上的数据永久丢失。攻击者可以彻底摧毁这个实例。"

由于未适当配置，这个敞开的实例可能已被威胁分子以多种方式利用。Cybernews 团队推测任何人都可以执行 CRUD（创建、读取、更新和删除）操作。

攻击者可能使用这个初始访问点进入数据库、控制数据，并通过 Cutout.pro 的 API 传递数据，从而对这家公司的客户实施危险的供应链攻击。

错误配置的数据库对隐私构成了威胁

众所周知，配置错误或不安全的数据库对许多公司和毫无戒心的用户已构成了重大的隐私威胁。2020 年，研究人员发现了 10000 多个不安全的数据库，这些数据库将超过 100 亿条（10463315645）记录暴露了在公众面前，未采取任何安全身份验证机制，谁都可以访问。

2021 年，暴露的数据库数量增加到了 399200 个。2021 年因配置错误而导致数据库泄露事件最多的前 10 个国家或地区包括如下：

美国：93685 个数据库

中国：54764 个数据库

德国：11177 个数据库

法国：9723 个数据库

印度：6545 个数据库

新加坡：5882 个数据库

中国香港：5563 个数据库

俄罗斯：5493 个数据库

日本：4427 个数据库

意大利：4242 个数据库