Eine gravierende Fehlkonfiguration der Cloud-Datenbank Firebase hat bei der beliebten KI-App Chat & Ask AI weltweit sensible Nutzerdaten offengelegt. Hunderttausende Nutzer vertrauten der Anwendung höchst persönliche Gespräche mit KI-Chatbots an – ein Teil dieser Kommunikation war aufgrund eines Konfigurationsfehlers jedoch für beliebige Dritte abrufbar.
Ausmaß des Datenlecks bei Chat & Ask AI und betroffene Nutzer
Chat & Ask AI wird von der türkischen Firma Codeway entwickelt und dient als komfortable Oberfläche für KI-Modelle wie ChatGPT, Claude und Gemini. Laut App-Store-Daten wurde die Anwendung über 10 Millionen Mal aus dem Google Play Store installiert und verfügt über mehr als 318.000 Bewertungen im Apple App Store. Insgesamt wird von rund 50 Millionen Nutzern weltweit ausgegangen, was die Tragweite des Vorfalls verdeutlicht.
Der Sicherheitsforscher, der unter dem Pseudonym Harry auftritt, entdeckte, dass das Backend von Chat & Ask AI unzureichend geschützt war. Ihm gelang es, auf etwa 300 Millionen Nachrichten zuzugreifen, die rund 25 Millionen einzelnen Nutzern zugeordnet waren. Die Datenbank enthielt komplette Chat-Historien, Zeitstempel, die Namen der genutzten Bots, Modellparameter sowie Informationen darüber, welche KI-Engine jeweils verwendet wurde.
Firebase-Fehlkonfiguration: Wenn jeder Client zum „authentifizierten Nutzer“ wird
Ursache des Datenlecks war eine fehlerhafte Konfiguration von Google Firebase, einer Cloud-Plattform, die häufig zur Speicherung von Daten in mobilen Apps eingesetzt wird. Zentral sind dabei die sogenannten Firebase Security Rules, mit denen festgelegt wird, wer welche Daten lesen oder schreiben darf.
Im Fall von Chat & Ask AI waren diese Zugriffsregeln so gesetzt, dass faktisch jeder App-Client als „authentifizierter Nutzer“ behandelt wurde. Damit war es möglich, Backend-Daten der Anwendung auszulesen, ohne eine echte, serverseitig geprüfte Anmeldung durchlaufen zu müssen. Solche Fehlkonfigurationen gehören laut Branchenberichten wie dem Verizon Data Breach Investigations Report (DBIR) seit Jahren zu den häufigsten Ursachen für Cloud-Datenlecks.
Auch andere Experten hatten wiederholt auf das Problem aufmerksam gemacht. So bezeichnete Dan Guido, CEO des Sicherheitsunternehmens Trail of Bits, schwach geschützte Firebase-Instanzen als „gut bekannte Schwachstelle“ im Mobile-Ökosystem. Laut seinen Angaben ließ sich mit Hilfe eines KI-Modells (Claude) innerhalb von nur 30 Minuten ein Scanner entwickeln, der unsichere Firebase-Konfigurationen automatisiert aufspürt – ein deutlicher Hinweis auf den systemischen Charakter des Problems.
Vertrauliche KI-Dialoge: Welche Inhalte offengelegt wurden
Die ausgewerteten Ausschnitte der Datenbank zeigen, dass viele Menschen KI-Assistenten als sehr persönliches, fast intimes Gesprächsumfeld nutzen. Unter den offengelegten Anfragen fanden sich unter anderem Fragen nach schmerzarmen Suizidmethoden, Bitten um Formulierung von Abschiedsbriefen, detaillierte Nachfragen zu Drogenherstellung sowie Hilfegesuche zu Software-Hacks.
Ein Beispiel waren Anfragen, in denen Nutzer fiktive Essays über das Kochen von Methamphetamin in einem rechtlich erlaubten Kontext verlangten. Andere Nachrichten drehten sich darum, „den besten Weg“ zum eigenen Suizid zu erfragen. Solche Inhalte offenbaren nicht nur mögliche Gesundheits- oder psychische Probleme, sondern auch potenziell strafbare oder hochriskante Verhaltensabsichten.
Damit wird deutlich: KI-Chatverlaufsdaten sind in ihrer Sensibilität mit medizinischen oder finanziellen Daten vergleichbar. Ein unautorisierter Zugriff schafft hier nicht nur Datenschutz-, sondern auch erhebliche Reputations- und Sicherheitsrisiken für die Betroffenen.
Systemische Schwachstelle: Nicht nur Chat & Ask AI betroffen
Nach Angaben des Forschers betraf die Firebase-Fehlkonfiguration nicht nur Chat & Ask AI, sondern auch weitere Apps von Codeway. Nachdem der Hersteller am 20. Januar 2026 informiert worden war, wurden die Konfigurationen innerhalb weniger Stunden angepasst und die Lücken in allen bekannten Anwendungen geschlossen. Dies spricht für eine schnelle Reaktion, zeigt aber gleichzeitig, dass eine einzige fehlerhafte Standardkonfiguration sich schnell auf eine komplette Produktfamilie auswirken kann.
Harry entwickelte zudem ein eigenes Tool, um Apps in offiziellen Stores automatisiert auf fehlerhafte Firebase-Einstellungen zu scannen. Bei einem Testlauf über 200 iOS-Apps fand er in 103 Anwendungen vergleichbare Schwachstellen – mehr als die Hälfte der untersuchten Apps war also potenziell angreifbar. Eine öffentliche Liste betroffener Produkte soll Betreibern helfen, Konfigurationen zu korrigieren; die Codeway-Apps wurden nach deren Fix aus dieser Übersicht entfernt.
Die Ergebnisse decken sich mit Beobachtungen aus der Praxis: Frameworks wie OWASP Mobile Top 10 führen Fehlkonfigurationen, unsichere Datenspeicherung und schwache Authentisierung seit Jahren unter den zentralen Risiken mobiler Anwendungen.
Risiken für Nutzer und Sicherheitsanforderungen an KI-Dienste
Für Nutzer bergen Datenlecks in KI-Chatbots eine doppelte Gefährdung. Erstens können höchst persönliche Informationen offengelegt werden: Hinweise auf psychische und körperliche Gesundheit, Lebensumstände, Beziehungsprobleme, berufliche Schwierigkeiten oder finanzielle Engpässe. Zweitens können Chatverläufe Aussagen zu möglicherweise rechtswidrigem Verhalten enthalten, etwa zu Drogen, Cyberkriminalität oder Umgehung von Schutzmechanismen.
Für Betreiber von KI- und Mobile-Apps ergeben sich daraus klare Anforderungen an die Security-Architektur:
Strikte Firebase Security Rules und Least Privilege: Zugriffsregeln müssen nach dem Prinzip der minimalen Rechte definiert und regelmäßig überprüft werden. Jede Annahme, ein Client sei „vertrauenswürdig“, muss serverseitig und kryptografisch abgesichert sein.
Automatisiertes Konfigurations-Scanning: Werkzeuge, die Cloud-Konfigurationen, APIs und Berechtigungen kontinuierlich prüfen, sollten in den CI/CD-Prozess integriert sein. Angesichts der Häufigkeit von Fehlkonfigurationen ist manueller Review allein nicht ausreichend.
Unabhängige Security-Audits und Penetrationstests: Regelmäßige externe Prüfungen helfen, Betriebsblindheit zu vermeiden und typische Schwachstellen frühzeitig zu identifizieren – insbesondere bei stark wachsenden KI-Diensten.
Zusätzliche Absicherung sensibler Chatdaten: Besonders vertrauliche Konversationen sollten verschlüsselt gespeichert, möglichst pseudonymisiert und mit strengen Aufbewahrungsfristen versehen werden. Default-Einstellungen sollten datensparsam sein.
Nutzern von KI-Apps ist zu empfehlen, grundsätzlich sparsam mit identifizierenden Informationen umzugehen: keine Ausweis- oder Kontodaten, keine vollständigen Reisepläne, keine Kontaktdaten Dritter und keine detaillierten Beschreibungen potenziell rechtswidriger Handlungen in Chatbots einzutragen – auch dann nicht, wenn das Produkt einen seriösen Eindruck macht oder millionenfach installiert wurde.
Der Vorfall um Chat & Ask AI zeigt, dass Bequemlichkeit und Funktionsvielfalt von KI-Diensten ohne eine robuste Sicherheitsstrategie zu erheblichen Risiken führen können. Entwickler sollten Security by Design, sichere Standardkonfigurationen, kontinuierliches Monitoring und regelmäßige Audits fest in ihren Entwicklungsprozess integrieren. Gleichzeitig lohnt es sich für Anwender, die eigene digitale Hygiene zu stärken und bevorzugt solche KI- und Mobile-Apps zu wählen, die transparent über Datenschutzmaßnahmen informieren und nachweislich schnell auf gemeldete Sicherheitslücken reagieren.
