Grote technologiebedrijven, waaronder Google, Apple en Discord, stellen mensen in staat zich snel aan te melden op schadelijke ‘uitkleed’-websites, die AI gebruiken om kleding van echte foto’s te verwijderen om slachtoffers ‘naakt’ te laten lijken zonder hun toestemming. Tientallen van deze nepsites maken al maanden gebruik van inlogknoppen van technologiebedrijven.
Uit de analyse van WIRED kwamen de 16 grootste zogenaamde stripping- en “nudificatie”-sites naar voren die gebruik maakten van de inloginfrastructuur van Google, Apple, Discord, Twitter, Patreon en Line. Met deze aanpak kunnen mensen eenvoudig accounts aanmaken op deepfake-websites – waardoor ze de schijn van geloofwaardigheid krijgen – voordat ze credits betalen en afbeeldingen genereren.
Hoewel bots en websites die zonder toestemming intieme afbeeldingen van vrouwen en meisjes maken al jaren bestaan, is het aantal toegenomen met de introductie van generatieve AI. Dit soort ‘uitkleedmisbruik’ is alarmerend wijdverbreid, waarbij tieners naar verluidt afbeeldingen van hun klasgenoten maken. Technologiebedrijven zijn traag met het aanpakken van de omvang van het probleem, zeggen critici, omdat websites hoog in de zoekresultaten verschijnen, betaalde advertenties ze op sociale media promoten en apps in app-winkels verschijnen.
“Dit is de voortzetting van een trend die seksueel geweld tegen vrouwen en meisjes door Big Tech normaliseert”, zegt Adam Dodge, advocaat en oprichter van EndTAB (Ending Technology Enabled Abuse). “Login-API’s zijn gemakstools. We mogen seksueel geweld nooit tot een gemakzucht maken”, zegt hij. “We zouden muren moeten optrekken rond de toegang tot deze apps, en in plaats daarvan geven we mensen een ophaalbrug.”
De door WIRED geanalyseerde inlogtools, die worden geïmplementeerd via API’s en algemene authenticatiemethoden, stellen mensen in staat bestaande accounts te gebruiken om zich aan te sluiten bij spoofing-sites. Het inlogsysteem van Google verscheen op 16 websites, dat van Discord op 13 en dat van Apple op zes. De knop van X stond op drie websites, en Patreon en berichtenservice Line verschenen op dezelfde twee websites.
WIRED noemt websites niet omdat ze misbruik toestaan. Verschillende maken deel uit van bredere netwerken en zijn eigendom van dezelfde individuen of bedrijven. De rapportagesystemen werden gebruikt ondanks het feit dat technologiebedrijven over het algemeen regels hadden die overheidsontwikkelaars hun diensten niet mogen gebruiken op een manier die de privacy van mensen zou kunnen schaden, lastigvallen of aantasten.
Nadat WIRED contact met hen had opgenomen, zeiden woordvoerders van Discord en Apple dat ze ontwikkelaarsaccounts hadden verwijderd die aan hun websites waren gekoppeld. Google zei dat het actie zal ondernemen tegen ontwikkelaars als het constateert dat de voorwaarden zijn geschonden. Patreon zei dat het accounts verbiedt die expliciete afbeeldingen toestaan, en Line bevestigde dat het onderzoek deed, maar zei dat het geen commentaar kon geven op specifieke websites. X heeft niet gereageerd op een verzoek om commentaar over de manier waarop zijn systemen worden gebruikt.
In de uren nadat Jud Hoffman, de vice-president van vertrouwen en veiligheid van Discord, aan WIRED vertelde dat het de toegang van websites tot zijn API’s had beëindigd wegens het schenden van het ontwikkelaarsbeleid, plaatste een van de downloadsites op zijn Telegram-kanaal dat de autorisatie via Discord “tijdelijk niet beschikbaar was ” en beweerde te proberen toegang te krijgen. De stripdienst reageerde niet op het verzoek van WIRED om commentaar op haar werk.