Ứng dụng bàn phím ảo AI.type được tung ra từ năm 2010 và cho đến nay, nó đã được tải xuống khoảng 40 triệu lần từ Google Play Store. Sự cố rò rỉ dữ liệu liên quan tới ứng dụng này được các chuyên gia bảo mật tại Trung tâm bảo mật Kromtech phát hiện trước tiên. Theo đó, máy chủ thuộc sở hữu của Eitan Fitusi, đồng sáng lập AI.type, do không có mật khẩu bảo vệ nên bất kỳ ai cũng truy cập được vào cơ sở dữ liệu về hồ sơ người dùng của công ty.
Có đến 577 GB dữ liệu người dùng được thu thập, bao gồm một khối lượng lớn thông tin cá nhân. Cụ thể, đó là họ tên đầy đủ, số điện thoại, tên thiết bị và model, tên nhà mạng di động, số SMS, độ phân giải màn hình, ngôn ngữ người dùng sử dụng, phiên bản Android, số IMSI và IMEI của thiết bị cũng như địa chỉ email và quốc gia cư trú. Trong một số trường hợp, dữ liệu này còn có tài khoản Google công khai, gồm địa chỉ email, ngày sinh, giới tính, ảnh cá nhân cũng như thông tin về các trang web truyền thông xã hội mà khách hàng truy cập. Điều kỳ lạ là cơ sở dữ liệu này dường như chỉ chứa hồ sơ của những người dùng sử dụng hệ điều hành Android chứ không có iOS. Hiện chưa có xác nhận nào về việc các tác nhân mã độc đã truy cập dữ liệu.
Trung tâm bảo mật Kromtech đã tìm thấy một số bảng dữ liệu liên lạc được tải lên từ điện thoại của người dùng, trong đó một bảng chứa 10,7 triệu địa chỉ email và một bảng khác có 374,6 triệu số điện thoại. Ngoài ra còn có một số bảng dữ liệu có chứa danh sách các ứng dụng được cài đặt trên thiết bị của người dùng như ứng dụng ngân hàng và ứng dụng hẹn hò.
Đại diện của ứng dụng AI.type cho biết họ không bao giờ chia sẻ dữ liệu của người dùng cũng như mật khẩu. Mối quan tâm chính của họ là sự riêng tư của người dùng và văn bản được gõ bằng bàn phím đã được mã hóa.
Theo Bob Diachenko, Giám đốc truyền thông tại Kromtech Security Center, về lý thuyết, bất kỳ ai đã tải và cài đặt bàn phím AI.type trên điện thoại đều bị lộ dữ liệu trên mạng. Ông cảnh báo về sự nguy hiểm khi dùng các ứng dụng miễn phí “Điều này cho thấy có một mối nguy hiểm thực sự từ phía tội phạm mạng, những người có thể sử dụng những thông tin chi tiết về người dùng cho mục đích lừa đảo hoặc gian lận”. Sự cố một lần nữa đặt ra câu hỏi liệu có đáng để người dùng đổi dữ liệu của họ để lấy những sản phẩm, dịch vụ miễn phí hoặc giảm giá mà có thể truy cập đầy đủ vào các thiết bị của họ hay không.
Vụ vi phạm dữ liệu của AI.type gần như không có tiền lệ trước đó khi mà ngày càng có nhiều công ty đã bị gặp phải vấn đề khi cấu hình sai cơ sở dữ liệu của họ và để lộ dữ liệu khách hàng trực tuyến. Ví dụ gần đây nhất là rò rỉ dữ liệu của Liên bang tín dụng quốc gia Hoa Kỳ vào cuối tháng 11 với một danh sách bao gồm Bộ tư lệnh An ninh và Tình báo Lục quân Hoa Kỳ, Accenture Plc, Verizon Communications Inc. và nhà thầu quân sự Hoa Kỳ TigerSwa.