Perplexity AI User File Uploads sind unauthentifiziert!

"Der Autor dieser Dokumentation ist ein Fan von Perplexity AI, hat aber Bedenken hinsichtlich der Handhabung von Benutzerdatei-Uploads auf der Plattform. Als datenschutzbewusster Benutzer war der Autor von der Missachtung des Feedbacks der Benutzer zu Sicherheitsproblemen durch das Team enttäuscht. Der Zweck dieser Demonstration ist es, zu zeigen, dass Perplexity AI einen "Sicherheit durch Unsichtbarkeit"-Ansatz bei Benutzerdatei-Uploads verfolgt, der aus Benutzersicherheitsgesichtspunkten besorgniserregend ist. Benutzer-Uploads werden an Cloudinary für Bilder oder an AWS-Buckets für andere Dateien weitergeleitet, aber beide sind von nicht authentifizierten Benutzersitzungen aus zugänglich. Das bedeutet, dass jeder auf persönlich identifizierbare Informationen zugreifen oder versuchen kann, diese zu sammeln, die von Benutzern hochgeladen wurden. Der Autor verwendete ein Repository mit synthetischen Daten, um diese Schwachstelle zu demonstrieren, indem er Mock-PII-Daten (persönlich identifizierbare Informationen) zu Perplexity AI hochlud und darauf von einer neuen Browsersitzung aus ohne Authentifizierung zugriff. Die Demonstration zeigte, dass Benutzer-hochgeladene Bilder, Dokumente und Code mit Geheimnissen alle ohne Authentifizierung zugänglich sind, was ein erhebliches Sicherheitsrisiko aufzeigt. Der Autor geht davon aus, dass wahrscheinlich eine enorme Menge an Benutzerdaten in Cloudinary-Buckets ungeschützt ist und dass dies trotz wiederholter Anfragen von Benutzern zur Verbesserung der Sicherheit der Fall bleibt. Der Autor argumentiert, dass "Sicherheit durch Unsichtbarkeit" in der Vergangenheit gescheitert ist und dass bessere Methoden eingesetzt werden können, um Benutzerdaten zu schützen. Der Autor kommt zu dem Schluss, dass zahlende Kunden mehr verdienen als dass die Sicherheit ihrer persönlichen Daten auf ein Spiel mit Wahrscheinlichkeiten reduziert wird und dass Perplexity AI Schritte unternehmen sollte, um seine Sicherheitsmaßnahmen zu verbessern."