Мир за неделю: Под прицелом хакеров — искусственный интеллект, автовладельцы и НКО

Почему компания OpenAI выплатила хакерам более $11 тысяч, а автомобильный гигант и ирландский провайдер отказываются платить выкупы за украденные данные.

Компания OpenAI предлагает этичным хакерам до $20 тыс. за поиск уязвимостей в системе безопасности в рамках программы BugBounty, запущенной 11 апреля 2023 г.

Разработчик ChatGPT объявил об инициативе OpenAI Bug Bounty в рамках обязательств по обеспечению безопасности искусственного интеллекта (AI). Компания находится под пристальным вниманием экспертов по ИБ с момента запуска прототипа ChatGPT в ноябре 2022 г.

В заявлении OpenAI признала, что, несмотря на значительные инвестиции в исследования и инжиниринг для обеспечения безопасности своих систем искусственного интеллекта, могут возникнуть уязвимости и изъяны.

«Мы считаем, что прозрачность и сотрудничество имеют решающее значение для решения этой проблемы. Поэтому мы приглашаем мировое сообщество исследователей безопасности, этичных хакеров и энтузиастов технологий помочь нам выявить и устранить уязвимости в наших системах», — говорится в заявлении компании.

23 марта OpenAI объявила, что исправила уязвимость в ChatGPT4, которая позволяла пользователям просматривать заголовки чатов других пользователей в течение нескольких часов 20 марта. Были опасения, что ошибка в библиотеке с открытым исходным кодом ChatGPT может привести к проблемам с конфиденциальностью.

«Одним из наиболее эффективных шагов для компаний по обеспечению безопасности своих продуктов является запуск программы BugBounty. Это проверено временем и верно с 1995 года, когда Netscape запустила первую программу BugBounty. Я рада, что OpenAI понимает это», — сказала Заира Пирзада, советник по кибербезопасности компании Lionfish Tech (США) в интервью Infosecurity.

Компания OpenAI заключила партнерские отношения с Bugcrowd для управления процессом подачи заявок и вознаграждения.

В зависимости от серьезности найденной уязвимости, вознаграждение варьируются от $200 за находки с низким уровнем серьезности до $20 тысяч за «исключительные открытия», говорится на странице, посвященной программе BugBounty.

Объем программы включает в себя API OpenAI и ключи AP, ChatGPT, сторонние корпоративные цели, связанные с OpenAI, OpenAI research org и OpenAI.com веб-сайт. Программа вознаграждения за ошибки предназначена для решения традиционных проблем с ПО, а не проблем с моделью ИИ.

На 17 апреля поданы 29 заявок об уязвимостях. Компания OpenAI уже выплатила «белым» хакерам более $11 тысяч, вознаграждены 11 участников. Максимальная сумма вознаграждения составляет $6,5 тысяч. В рамках программы этичным хакерам не разрешается разглашать информацию об обнаруженных уязвимостях.

Недавнее исследование BlackBerry показало, что 51% руководителей служб ИБ ожидают, что ChatGPT окажется в центре успешной кибератаки в течение года. Наибольшие опасения связаны с тем, что модель может быть использована субъектами киберугроз для проведения атак, включая разработку вредоносных программ и мошенничество в области социальной инженерии.

У Hyundai угнали сервер с данными клиентов

Автомобильный производитель Hyundai сообщил об инциденте, который затронул неустановленное число итальянских и французских автовладельцев, а также частных лиц, заказавших тест-драйв южнокорейских машин.

Компания уведомила пострадавших по электронной почте, некоторые из них сообщили об инциденте в Twitter, пишет Infosecurity.

Руководство Hyundai выражает сожаление, что неавторизованная третья сторона получила доступ к данным клиентов, говорится в письме. Как только стало известно о происшествии, компания начала расследование и приняла все меры для пресечения инцидента. Зараженный сервер был заблокирован и удален из сети.

Украденные данные включали контактную информацию (электронную почту, адреса и номера телефонов) и данные об автомобиле (например, номера шасси).

Комментируя утечку, директор по технологиям британской компании SenseOn Брэд Фриман сказал, что утечка данных ограничивалась заказами на тест-драйв и серийными номерами некоторых автомобилей. Это наводит на мысль, что данные украли с непрофильного веб-сайта.

«Огромное количество веб-сайтов и сервисов, управляемых глобальной корпорацией Hyundai, ошеломляет, и вполне возможно, что на одном из сайтов не были применены стандартные меры безопасности компании», — добавил Фримен.

После раскрытия утечки данных исследователи безопасности обнаружили в Twitter новые сведения об уязвимостях в мобильных приложениях Hyundai. Они позволяли провести удаленную атаку, разблокировать и запустить автомобили, выпущенные после 2012 г.

«Поскольку современные транспортные средства все чаще оснащаются электроникой, они чаще подключены к сети и в большей степени управляются ПО», — считает генеральный директор шотландской компании Approov Тед Миракко. — «Автомобильные компании становятся более уязвимыми к кибератакам, особенно со стороны мобильных приложений или устройств».

Повторные жертвы

Информация шести ирландских благотворительных и некоммерческих организаций была украдена в результате атаки программы-вымогателя на компанию в Северной Ирландии. Как минимум четыре пострадавшие компании занимаются жертвами изнасилований и сексуальных надругательств.

Компания Evide, которая управляет данными примерно 140 благотворительных и некоммерческих организаций в Ирландии, Великобритании и Северной Ирландии, стала мишенью киберпреступников. Эксперты полагают, что в числе пострадавших от утечки персональных данных, наряду с другими организациями и частными лицами, есть около 2000 жертв сексуального насилия.

16 апреля представитель Evide подтвердил, что как только стало известно об инциденте, компания привлекла к расследованию кибератаки полицию и специалистов по кибербезопасности для локализации проблемы и восстановления систем. Ни один из украденных материалов, которые содержат особо конфиденциальную и личную информацию не был опубликован в Интернете. По данным ирландской медиакомпании RTÉ, выкуп был запрошен, но так и не был выплачен.

Четыре из шести пострадавших НКО работают со взрослыми, подвергшимися сексуальному насилию в детстве, и их семьями, а также с теми, кто склонен к сексуальным девиациям. НКО One in four сообщила, что связалась с примерно 500 клиентами, чья личная информация, возможно, была украдена. Компания открыла телефон доверия для пострадавших, который будет работать с 17 апреля 2023 г. и через СМИ попросит тех, у которых возникнут проблемы, зайти на сайт для получения информации о горячей линии и других службах поддержки.

Компания One in four не знает до конца, какие данные были украдены. Помимо личной информации, на сервере хранились краткие записи об оказанных клиентам услугах и иная информация. «Мы действительно не знаем, какова ситуация с этими данными. Мы знаем, что ни к каким вложениям, письмам, отчетам, например, службы защиты детей, доступ не был получен», — заявила директор One in four Мейв Льюис. Она считает, что самая ценная информация, к которой был получен доступ, — это личные данные клиентов.

Компания Evide заявила, что ей стало известно о нарушении безопасности 30 марта, когда в компьютерной сети был обнаружен необычный трафик, а системы — скомпрометированы. Компания сообщила о происшествии Полицейской службе Северной Ирландии (PSNI). Кибератака расследуется детективами-специалистами из группы по расследованию киберпреступлений PSNI, к ним подключились полиция Ирландии и Национальное бюро по киберпреступности. Офис Уполномоченного по защите данных ЕС также получил уведомления о нарушениях данных.

Брайан Хонан, бывший специальный советник Европола, считает, что цель хакеров — получение выкупа. Он полагает, что киберпреступники изменили тактику нападения и атакуют поставщиков услуг, рассчитывая на то, что его клиенты окажут дополнительное давление на провайдера и вынудят оплатить требования. Сами клиенты оказываются в роли второстепенной жертвы.

Но существует и вероятность того, что хакеры перейдут к атакам людей, чьи данные были украдены, как это произошло в Финляндии, когда частная психиатрическая клиника стала жертвой атаки программы-вымогателя, — отметил Брайан Хонан.