Загрузки файлов пользователей Perplexity AI не аутентифицированы!

"Автор данной документации является фанатом Perplexity AI, но имеет опасения по поводу обработки платформой загрузок файлов пользователей. Как пользователь, заботящийся о приватности, автор разочарован пренебрежением команды к обратной связи пользователей по вопросам безопасности. Целью данной демонстрации является показ того, что Perplexity AI использует подход "безопасность через неясность" при загрузке файлов пользователей, что тревожно с точки зрения безопасности пользователей. Загрузки пользователей направляются либо в Cloudinary для изображений, либо в AWS Buckets для других файлов, но оба доступны из неаутентифицированных сессий пользователей. Это означает, что любой может получить доступ или попытаться собрать личную информацию, загруженную пользователями. Автор использовал репозиторий, содержащий синтетические данные, чтобы продемонстрировать эту уязвимость, загрузив фиктивные данные PII в Perplexity AI и получив доступ к ним из новой сессии браузера без аутентификации. Демонстрация показала, что загруженные пользователем изображения, документы и код с секретами могут быть доступны без аутентификации, подчеркивая значительный риск безопасности. Автор предполагает, что вероятно, что огромное количество пользовательских данных остается незащищенным в бакетах Cloudinary, и что это остается так, несмотря на повторные запросы пользователей улучшить безопасность. Автор утверждает, что "безопасность через неясность" в прошлом не сработала и что могут быть использованы более эффективные методы для защиты данных пользователей. Автор заключает, что платящие клиенты заслуживают лучшего, чем иметь безопасность своих личных данных уменьшена до игры вероятностей, и что Perplexity AI должна принять меры для улучшения своих мер безопасности."