ChatGPT научился воровать данные пользователей?
Исследователь в области кибербезопасности Иоганн Рейбергер выявил уязвимость в ChatGPT, которая позволяет злоумышленникам внедрять ложную информацию в память чат-бота с помощью вредоносных запросов. Эта проблема может угрожать конфиденциальности данных пользователей, а также, что ещё более важно, менять логику системы и заставлять её делать ложные выводы.
ChatGPT использует долговременную память для хранения информации о пользователе, включая возраст, пол и личные предпочтения. Это упрощает общение, так как чат-бот помнит важные данные из предыдущих разговоров. Однако путём известного приёма в виде непрямых инъекций, например, с помощью документов или ссылок, можно заставить систему поверить в несуществующие и фальсифицированные факты. В эксперименте исследователь убедил нейросеть в том, что он живёт в матрице, а Земля плоская. Все последующие диалоги с нейросетью основываются уже на этих инъектированных данных.
Особенно тревожной оказалась возможность использования внешних файловых хранилищ, таких как Google Drive, Яндекс Диск или OneDrive, для проведения этих атак.
В мае 2024 года Рейбергер сообщил об этой проблеме в OpenAI, но его обращение закрыли, не придав ей большого значения.
#нейросети #ии #безопасность
Исследователь в области кибербезопасности Иоганн Рейбергер выявил уязвимость в ChatGPT, которая позволяет злоумышленникам внедрять ложную информацию в память чат-бота с помощью вредоносных запросов. Эта проблема может угрожать конфиденциальности данных пользователей, а также, что ещё более важно, менять логику системы и заставлять её делать ложные выводы.
ChatGPT использует долговременную память для хранения информации о пользователе, включая возраст, пол и личные предпочтения. Это упрощает общение, так как чат-бот помнит важные данные из предыдущих разговоров. Однако путём известного приёма в виде непрямых инъекций, например, с помощью документов или ссылок, можно заставить систему поверить в несуществующие и фальсифицированные факты. В эксперименте исследователь убедил нейросеть в том, что он живёт в матрице, а Земля плоская. Все последующие диалоги с нейросетью основываются уже на этих инъектированных данных.
Особенно тревожной оказалась возможность использования внешних файловых хранилищ, таких как Google Drive, Яндекс Диск или OneDrive, для проведения этих атак.
В мае 2024 года Рейбергер сообщил об этой проблеме в OpenAI, но его обращение закрыли, не придав ей большого значения.
#нейросети #ии #безопасность
Законопроект об уголовной ответственности за оборот украденных персональных данных загнал кибер-сообщество в ситуацию цугцванга.
Нюанс в том, что законопроект не предусматривает исключений для компаний, занимающихся защитой инфраструктуры от атак и расследованием утечек данных, в том числе профильных госструктур.
Напомним, в обновлённой версии законопроекта уголовно наказуемо, в частности, создание ресурсов (сайт, IT-система, программа) для незаконных хранения и передачи информации, содержащей персональные данные, полученные незаконно. Максимальное наказание за подобные нарушения предусматривает лишение свободы на срок до пяти лет, штрафы до 700 тысяч рублей и иные ограничения.
Ужесточение ответственности за незаконный оборот данных может сократить количество ресурсов, занимающихся таким оборотом, однако не гарантирует полную их ликвидацию, так как злоумышленники не лишатся доступа к инструментам проникновения в организации
При этом законопроект не оставляет никаких возможностей расследовать подобные утечки, так как это также теперь будет являться уголовным преступлением. Тем самым законопроект может достичь прямо противоположного результата: изучение способов получения злоумышленниками персональных данных и утечек из баз данных окажется невозможным.
Кроме того, сами пострадавшие компании могут столкнуться с запретом отдельных направлений своей работы, включая поиск следов компрометации на хакерских форумах, что создаст дополнительные риски для безопасности данных.
#законодательство #интернет #безопасность
Нюанс в том, что законопроект не предусматривает исключений для компаний, занимающихся защитой инфраструктуры от атак и расследованием утечек данных, в том числе профильных госструктур.
Напомним, в обновлённой версии законопроекта уголовно наказуемо, в частности, создание ресурсов (сайт, IT-система, программа) для незаконных хранения и передачи информации, содержащей персональные данные, полученные незаконно. Максимальное наказание за подобные нарушения предусматривает лишение свободы на срок до пяти лет, штрафы до 700 тысяч рублей и иные ограничения.
Ужесточение ответственности за незаконный оборот данных может сократить количество ресурсов, занимающихся таким оборотом, однако не гарантирует полную их ликвидацию, так как злоумышленники не лишатся доступа к инструментам проникновения в организации
При этом законопроект не оставляет никаких возможностей расследовать подобные утечки, так как это также теперь будет являться уголовным преступлением. Тем самым законопроект может достичь прямо противоположного результата: изучение способов получения злоумышленниками персональных данных и утечек из баз данных окажется невозможным.
Кроме того, сами пострадавшие компании могут столкнуться с запретом отдельных направлений своей работы, включая поиск следов компрометации на хакерских форумах, что создаст дополнительные риски для безопасности данных.
#законодательство #интернет #безопасность
По информации сервиса поиска утечек и мониторинга даркнета DLBI, хакеры заявили, что им удалось получить доступ к данным «Ростелекома». Со слов злоумышленников, они скачали базы данных с сайтов company.rt.ru и zakupki.rostelecom.ru. В качестве доказательства хакеры предоставили фрагменты таблиц, содержащих информацию о зарегистрированных пользователях и обращениях, отправленных через формы на сайте. Данные в этих таблицах датированы 20 сентября 2024 года. Согласно утечке, в дампах содержится 154 тысячи уникальных адресов электронной почты и 101 тысяча уникальных номеров телефонов.
«Ростелеком» уже заявил, что утечка, вероятно, произошла из инфраструктуры одного из подрядчиков компании. Представители оператора связи подчеркнули, что инцидент не затронул особо чувствительные персональные данные клиентов. Тем не менее, в компании рекомендовали пользователям сбросить пароли и включить двухфакторную идентификацию.
В «Ростелекоме» также уточнили, что в настоящее время проводится анализ содержимого базы данных для определения масштабов компрометации. Речь идёт о сайтах company.rt.ru и zakupki.rostelecom.ru, которые, как отметили в компании, не предназначены для обслуживания физических лиц и не содержат особо чувствительных персональных данных. «Предварительно можно сказать, что утечки особо чувствительных персональных данных не было. Но мы рекомендуем пользователям ресурсов сбросить пароли и включить двухфакторную идентификацию, где она доступна», — добавили в компании.
Минцифры России также прокомментировало инцидент, сообщив, что 21 января 2025 года на инфраструктуру подрядчика «Ростелекома» была совершена хакерская атака. В ведомстве подчеркнули, что атака не затронула критически важные системы, такие как портал «Госуслуги», данные которого находятся под надёжной защитой. Чувствительные персональные данные частных клиентов компании-подрядчика также не были скомпрометированы.
Для защиты своих систем «Ростелеком» использует эшелонированный подход, включающий несколько взаимодополняющих мер безопасности. Однако, как уточнили в компании, системы подрядчика не находились под непосредственным контролем ИБ-специалистов «Ростелекома». В настоящее время Минцифры совместно с оператором связи работает над усилением защиты этой части инфраструктуры. «Все необходимые меры приняты, проводится подробное расследование», — заявили в ведомстве.
Этот инцидент стал очередным в череде утечек данных в России. Ещё в ноябре 2023 года президент «Ростелекома» Михаил Осеевский заявил, что личные данные практически всех россиян оказались в открытом доступе. По оценкам «Сбера», около 90% взрослого населения России столкнулись с утечкой своих персональных данных. «Ситуация давно уже выглядит плачевной. По нашим данным, около 3,5 миллиардов строк данных находятся в открытом доступе. Уже где‑то около 90% взрослого населения, к сожалению, в той или иной части имеют свои персональные данные в открытом доступе», — отметил представитель «Сбера».
В сентябре 2024 года «Ростелеком» совместно с дочерней компанией «Солар» (архитектор комплексной кибербезопасности) запустил для своих клиентов бесплатную опцию проверки персональных данных на предмет их утечки в интернете. Эта функция позволяет пользователям узнать, какая их личная информация попала в открытый доступ, а также получить рекомендации по безопасному хранению данных в сети. Однако, как показывает текущий инцидент, проблема утечек данных остаётся актуальной, и её решение требует комплексного подхода как со стороны компаний, так и со стороны пользователей.
Остаётся открытым только один вопрос: будет ли «Ростелеком» оштрафован на общих основаниях, или на масштабную утечку закроют глаза?
#утечки #безопасность #ростелеком
«Ростелеком» уже заявил, что утечка, вероятно, произошла из инфраструктуры одного из подрядчиков компании. Представители оператора связи подчеркнули, что инцидент не затронул особо чувствительные персональные данные клиентов. Тем не менее, в компании рекомендовали пользователям сбросить пароли и включить двухфакторную идентификацию.
В «Ростелекоме» также уточнили, что в настоящее время проводится анализ содержимого базы данных для определения масштабов компрометации. Речь идёт о сайтах company.rt.ru и zakupki.rostelecom.ru, которые, как отметили в компании, не предназначены для обслуживания физических лиц и не содержат особо чувствительных персональных данных. «Предварительно можно сказать, что утечки особо чувствительных персональных данных не было. Но мы рекомендуем пользователям ресурсов сбросить пароли и включить двухфакторную идентификацию, где она доступна», — добавили в компании.
Минцифры России также прокомментировало инцидент, сообщив, что 21 января 2025 года на инфраструктуру подрядчика «Ростелекома» была совершена хакерская атака. В ведомстве подчеркнули, что атака не затронула критически важные системы, такие как портал «Госуслуги», данные которого находятся под надёжной защитой. Чувствительные персональные данные частных клиентов компании-подрядчика также не были скомпрометированы.
Для защиты своих систем «Ростелеком» использует эшелонированный подход, включающий несколько взаимодополняющих мер безопасности. Однако, как уточнили в компании, системы подрядчика не находились под непосредственным контролем ИБ-специалистов «Ростелекома». В настоящее время Минцифры совместно с оператором связи работает над усилением защиты этой части инфраструктуры. «Все необходимые меры приняты, проводится подробное расследование», — заявили в ведомстве.
Этот инцидент стал очередным в череде утечек данных в России. Ещё в ноябре 2023 года президент «Ростелекома» Михаил Осеевский заявил, что личные данные практически всех россиян оказались в открытом доступе. По оценкам «Сбера», около 90% взрослого населения России столкнулись с утечкой своих персональных данных. «Ситуация давно уже выглядит плачевной. По нашим данным, около 3,5 миллиардов строк данных находятся в открытом доступе. Уже где‑то около 90% взрослого населения, к сожалению, в той или иной части имеют свои персональные данные в открытом доступе», — отметил представитель «Сбера».
В сентябре 2024 года «Ростелеком» совместно с дочерней компанией «Солар» (архитектор комплексной кибербезопасности) запустил для своих клиентов бесплатную опцию проверки персональных данных на предмет их утечки в интернете. Эта функция позволяет пользователям узнать, какая их личная информация попала в открытый доступ, а также получить рекомендации по безопасному хранению данных в сети. Однако, как показывает текущий инцидент, проблема утечек данных остаётся актуальной, и её решение требует комплексного подхода как со стороны компаний, так и со стороны пользователей.
Остаётся открытым только один вопрос: будет ли «Ростелеком» оштрафован на общих основаниях, или на масштабную утечку закроют глаза?
#утечки #безопасность #ростелеком