Twee AI-apps lekken 12 terabyte aan privéfoto's van een miljoen gebruikers
Mountain View, dinsdag, 24 februari 2026.
Cybersecurity-experts ontdekten dat AI-apps in Google’s Play Store massaal gebruikersdata hebben gelekt. De app ‘Video AI Art Generator & Maker’ lekte alleen al 1,5 miljoen foto’s en 385.000 video’s van een half miljoen gebruikers. Een tweede app, IDMerit, stelde persoonlijke gegevens van gebruikers uit 25 landen bloot, inclusief namen, adressen en geboortedatums. Het probleem zit dieper: 72 procent van de onderzochte AI-apps gebruikt onveilige programmeertrucjes waarbij wachtwoorden rechtstreeks in de app-code worden verstopt. Google heeft beide apps inmiddels verwijderd, maar experts waarschuwen dat dit slechts het topje van de ijsberg is. Miljoenen Android-gebruikers lopen nog altijd risico door vergelijkbare kwetsbare apps die persoonlijke bestanden opslaan in slecht beveiligde cloudopslag.
Amerikaanse AI-apps lekken massaal Nederlandse gebruikersdata
Deze week kwam aan het licht dat twee AI-apps uit de Verenigde Staten miljoenen persoonlijke bestanden hebben gelekt [1][2]. De eerste app, ‘Video AI Art Generator & Maker’, had een half miljoen downloads toen onderzoekers ontdekten dat meer dan 12 terabyte aan gebruikersdata vrij toegankelijk was [1][2]. Dat is genoeg data om 12000 gigabyte aan privéfoto’s en video’s te bevatten. De tweede app, IDMerit, lekte persoonlijke gegevens van gebruikers uit 25 landen, waaronder volledige namen, adressen, geboortedata en telefoonnummers [1][2]. Nederlandse gebruikers zijn bij deze specifieke apps niet getroffen, maar cybersecurity-experts waarschuwen dat vergelijkbare lekken elke dag kunnen gebeuren [2]. De ontwikkelaars hebben begin februari 2026 de toegang tot de gelekte gegevens beveiligd [2].
72 procent van AI-apps gebruikt gevaarlijke programmeertrucjes
Het probleem zit veel dieper dan deze twee apps. Onderzoekers van Cybernews analyseerden honderden AI-apps in Google’s Play Store en ontdekten dat 72 procent ervan ‘hardcoding secrets’ gebruikt [1][3]. Dit betekent dat ontwikkelaars wachtwoorden, encryptiesleutels en andere gevoelige informatie rechtstreeks in de app-code verstoppen [1][3]. Stel je voor: het is alsof je je huissleutel onder de deurmat verstopt, maar dan digitaal. Elke hacker die de app-code kan bekijken, heeft direct toegang tot alle gebruikersgegevens. Google verwijderde in 2025 al 1.750 million apps die tegen hun beleid ingingen en blokkeerde 266 miljoen risicovolle app-installaties [4][5]. Toch blijven er dagelijks nieuwe kwetsbare apps bijkomen.
Hoe bescherm je jezelf tegen datalekkende AI-apps
Google’s automatische beveiligingssysteem Play Protect scant dagelijks 350 miljard apps op malware [5], maar deze nieuwe AI-apps glippen er vaak doorheen omdat ze technisch gezien niet schadelijk zijn. Ze zijn gewoon slecht geprogrammeerd. Experts adviseren gebruikers om voor het downloaden van AI-apps de ontwikkelaar te controleren, reviews over privacy te lezen en te kijken of de maker een Google-badge heeft [2]. Check ook of de app contactgegevens van de makers toont [2]. Als een app geen duidelijke ontwikkelaar heeft of verdacht weinig reviews, dan kun je beter een bekende AI-app gebruiken. Op maandag 23 februari 2026 werd bovendien bekend dat hackers Google’s eigen Gemini AI gebruiken om Android-malware te maken [6]. De malware, genaamd PromptSpy, doet zich voor als een bank-app en kan inloggegevens stelen [6]. Google bevestigde dat er vooralsnog geen apps met deze malware in de Play Store zijn gevonden [6].
Bronnen
- nl.mashable.com
- www.androidplanet.nl
- mashable.com
- www.pcmag.com
- www.deccanherald.com
- androidworld.nl