Fant tusenvis av vibbekodede apper med sensitive data åpent på nett
Når «alle» kan lage apper, blir grunnleggende sikkerhetsrutiner ekstra viktig. Et sikkerhetsselskap fant helsedata og bedriftshemmeligheter i apper laget med KI-verktøy. Mer om dette og ukens tech-nyheter i Bits & Bytes.
I dag er det å vibbekode en app nesten like enkelt som å bestille takeaway. Du sier hva du vil ha, trykker på et par knapper og vipps, så er middagen – eller programvaren – servert!
Men selv om det kan være lett å lage applikasjoner, så betyr det ikke at man kan ta lett på sikkerheten.
Denne uken fant IT-sikkerhetsselskapet RedAccess 380 000 åpent tilgjengelige digitale ressurser laget med KI-verktøy fra blant annet Lovable, Replit og Netlify. Rundt 5 000 av dem inneholdt ifølge selskapet sensitive bedriftsdata.
Eksemplene spenner fra en app for skipslogistikk hos et rederi, til en vibbekodet løsning et sikkerhetsselskap brukte for å sortere hendelser hos kundene sine.
– Det at folk kan lage noe så enkelt og sette det i produksjon på vegne av selskapet sitt uten noen form for godkjenning – det finnes ingen grense, sier Dor Zvi, daglig leder i RedAccess til Axios.
Eksponert for hvem som helst
Det var heller ikke komplisert hacking som avslørte sårbarhetene.
Flere av løsningene var helt åpne for alle med tilgang til løsningenes URL, eller så lå appene åpent tilgjengelig på vibbekodeplattformenes egne domener. I andre tilfeller holdt det å logge inn i appen med en hvilken som helst e-postadresse for å få tilgang.
Ifølge Wired hevder RedAccess at rundt 40 prosent av appene eksponerte sensitive data.
Her er det snakk om alt fra helsedata og økonomiske opplysninger til interne presentasjoner, strategidokumenter og detaljerte logger fra kundesamtaler med chatboter.
– Dette er en av de største hendelsene vi har sett, der folk eksponerer bedriftsdata eller annen sensitiv informasjon for hvem som helst i hele verden, sier lederen av RedAccess til Wired.
Bruker- eller systemfeil?
De fleste av bruddene det er snakk om skyldtes helt enkle brukerfeil. Ofte var problemet bare at appen ikke var satt til privat eller begrenset visning.
En talsperson fra Lovable påpeker at de tilbyr utviklere de verktøyene de trenger for å bygge sikkert, men at det til syvende og sist faktisk er den som lager appen, som har ansvar for hvordan den konfigureres.
Likevel mener Zvi at det er urealistisk at man kan lære opp hele verden i sikkerhet, selv når det er snakk om helt grunnleggende ting.
– Moren min vibbekoder med Lovable, og med all respekt: Jeg tror ikke hun kommer til å tenke på rollebasert tilgang, sier han til Axios.
Må ha kontroll
Ifølge Joel Margolis, en sikkerhetsekspert Wired har snakket med, henger slike problemer ofte sammen med at digitale løsninger nå lages av folk uten kodebakgrunn.
Mens en dyktig utvikler er vant til å tenke på sikkerhet fra start, vil kanskje en vanlig kontoransatt være mest opptatt av å få appen til å virke.
– Si at noen fra et markedsføringsteam vil lage en nettside. KI-kodeverktøy gjør akkurat det du ber dem om. Med mindre du ber dem om å lage nettsiden på en sikker måte, kommer de heller ikke til å gjøre det av seg selv, sier han.
Det betyr ikke at det å bruke KI til å lage digitale løsninger i seg selv er noe negativt.
Tvert imot ligger det en enorm mulighet i at personer uten teknisk bakgrunn kan bruke kunstig intelligens til å sette fart på – og heve kvaliteten – på egne arbeidsprosesser.
Men det krever også at bedriftene faktisk har kontroll på hvordan slike løsninger blir laget, hvilke data som brukes, og hvem som får ta dem i bruk.
Det har skjedd mye annet innen tech, kunstig intelligens og sikkerhet den siste uken. Her har vi oppsummert det viktigste:
Kunstig intelligens
- Slik skal kunstig intelligens gi deg raskere byggesvar (NRK)
- Mesteparten av KI-koding er «som å kjøre Ferrari til butikken for å kjøpe melk» (The New Stack)
- Anthropic skal angivelig betale Google 200 milliarder dollar for chips og sky-tilgang (Engadget)
- Opprøret mot KI-datasentre vokser over hele USA (Market Wise)
- Apple godtar kravene: Betaler iPhone-eiere 250 millioner dollar for å ikke ha levert Siri med KI (The Verge)
- Googles skjermløse Fitbit Air kommer med Gemini (Gizmodo)
- Claudes KI-agenter kan nå «drømme» (Ars Technica)
- Anthropic øker Claude Code-grensene etter SpaceX-avtale (Ars Technica)
- UiT-ansatte påpekte feil i studie om ChatGPT – nå er den trukket tilbake (NRK)
- Hans Christian Holte blir sjef for KI Norge (E24)
Sikkerhet
- Hvordan Anthropics Mythos har endret Firefox sin tilnærming til cybersikkerhet (TechCrunch)
- Google Chrome installerer en KI-modell på enheten din uten ditt samtykke – og klimakostnadene er enorme. (That Privacy Guy)
- Canvas-plattformen hacket igjen (VG)
- Den kinesiske deepfake-programvare som svindler verden (404 Media)
- Skremt av Mythos: Trump snur om KI-sikkerhetstesting (Ars Technica)
- Meta-underleverandør sparker 1100 KI-trenere etter at RayBan-briller tok opp intime videoer (TechSpot)
- Prisen for personvern: 39 kroner i måneden, ifølge Schibsted (Morgenbladet)
- Tar amatør-hackere over? (The Verge)
Politikk
Diverse
- Krympflasjon gjør alle gadgets verre (Gizmodo)
- Utpressing med smartbriller er blitt en ekte greie (Gizmodo)
- Hvil i fred sosiale medier, neste steg blir rotete (Ars Technica)
- En hacker kjørte over meg med robotgressklipper (The Verge)
- Feil i Kenyas KI-drevne helsereformer øker kostnadene for de fattigste (The Guardian)
- X-bruker lurte Grok til å sende 200 000 dollar i kryptoverdier ved hjelp av morsekode (Dexerto)
- Søker du jobb her? Da blir du først intervjuet av roboten «Hubert» (Moss Avis)
- Kristen mobiloperatør vil blokkere porno og kjønnsrelatert innhold i USA (MIT Technology Review)
- Ask.com stenger etter nesten 30 år (Piunika Web)
