771771威尼斯.cm安全资讯一周概览(0513-0519)

作者:

时间:
2023-05-19
01

欧盟将立法严格监管人工智能技术应用




欧洲议会两个委员会11日通过《人工智能法案》提案的谈判授权草案,向立法严格监管人工智能技术的应用迈出关键一步。

欧洲议会当天发表声明说,议会内部市场委员会和公民自由委员会以压倒多数通过欧盟委员会于2021年4月提出的《人工智能法案》提案的谈判授权草案。新文本将严格禁止“对人类安全造成不可接受风险的人工智能系统”,包括有目的地操纵技术、利用人性弱点或根据行为、社会地位和个人特征等进行评价的系统等。

谈判授权草案还要求人工智能公司对其算法保持人为控制,提供技术文件,并为 “高风险”应用建立风险管理系统。每个欧盟成员国都将设立一个监督机构,确保这些规则得到遵守。

这一草案将于6月中旬提交欧洲议会全会表决,之后欧洲议会将与欧盟理事会就法律的最终形式进行谈判。欧洲议会的声明说,一旦获得批准,这将成为全世界首部有关人工智能的法规。


771771威尼斯.cm点评

科技是把“双刃剑”,从实验室到经济社会的广泛应用,中间还需要加一道“安全防护墙”。对于人工智能技术及其产品的研发和使用,从规范制度体系层面要加强三方面监管。一是通过伦理范畴来进行规范,二是通过标准规范方式来约束技术的使用,三是通过法律法规来加强监管,让技术及其产品在经济社会中规范使用。从组织层面也要加强规范,一是研发技术和产品的企业对风险要进行自控,二是相关行业协会对人工智能技术和产品的研发和使用要进行自律,三是政府要通过制定法律法规来促进和约束人工智能及其产品的使用,这是对技术和产品风险控制的“最后一道防线”。


771771威尼斯.cm安全资讯一周概览(0513-0519)

02

智能家居安全性有多重要?



物联网(IoT)的兴起改变了我们的生活方式以及与家庭的互动方式。近年来,恒温器、相机和语音助手等智能家居设备,因其便利性和简化日常任务的能力而变得越来越流行。然而,随着越来越多的智能设备连接到互联网,网络攻击的风险也在增加,这使得这些设备的安全成为一个至关重要的问题。

为了解决这一问题,包括亚马逊、苹果、谷歌和库德尔斯基物联网在内的一组科技企业已经联合起来创建了Matter标准。Matter是一种开源、免版税的标准,旨在使智能设备更容易相互协作并与多个生态系统协同工作。该标准将允许设备使用通用语言相互通信,使消费者更容易设置和管理智能家居设备。

Matter还将优先考虑安全性,这是任何智能家居设备的重要组成部分。该标准的主要目标之一是确保智能设备在设计上是安全的,这意味着从一开始就在设备中内置安全功能。例如,设备将被要求具有唯一的身份和连接互联网的安全方法,这使得黑客更难获得未经授权的访问。


771771威尼斯.cm点评

智能家居设备安全的重要性怎么强调都不为过。智能家居设备可以收集和存储敏感数据,例如我们的日常生活和个人信息。随着智能家居设备越来越融入我们的生活,在设计时考虑到安全性至关重要。消费者必须能够相信他们的设备是安全的,他们的数据是受保护的。Matter标准是朝着正确方向迈出的重要一步,因为它优先考虑安全性和互操作性,确保智能家居设备易于使用且设计安全。


771771威尼斯.cm安全资讯一周概览(0513-0519)

03

判70年!Twitter 2020 网络攻击案主谋认罪



近日,一名英国人已就2020年7月盗取众多高知名度账户和诈骗该平台其他用户的推特攻击事件表示认罪。美国司法部(DoJ)表示,约瑟夫-詹姆斯-奥康纳(Joseph James O'Connor)在网上化名为PlugwalkJoe,他承认 '在网络跟踪和涉及计算机黑客的多个事件中的不法行为,包括2020年7月对Twitter的黑客攻击'。发生在2020年7月15日的大规模黑客攻击,涉及奥康纳和他的同谋者盗取了130个Twitter账户,这些账户中包括巴拉克-奥巴马、比尔-盖茨和埃隆-马斯克的账户,并通过这些账户实施加密货币骗局,在几个小时内净赚12万美元。

这次攻击是通过社会工程技术获得对Twitter后台的访问权限,然后利用这个入口点来盗取账户,并在某些情况下将账户访问权出售给其他人。奥康纳是被指控实施Twitter黑客攻击的四个人之一。尼玛-法泽里和格雷厄姆-伊万-克拉克在同一个月被捕,而奥康纳在一年后的2021年7月在埃斯特波纳镇被西班牙当局逮捕。据BBC的Joe Tidy报道,Mason Sheppard还没有被逮捕。克拉克在2021年3月对30项重罪指控认罪后被判处三年监禁。

除了推特事件,被告人还被指控入侵TikTok和Snapchat用户账户的犯罪行为,以及在网上跟踪一名青少年受害者。


771771威尼斯.cm点评

随着威胁形势的不断发展,建立全面的网络安全解决方案需要外围安全性和主动的网内防御 。首先,需要确保防火墙处于活动状态,配置正确,并且最好是下一代防火墙; 此外,对于个人密码,应该采取一些措施来强化密码。例如,密码短语已经被证明更容易跟踪并且更难以破解。密码管理器也可用于跟踪密码并确保密码安全。输入个人信息以完成金融交易时,请留意地址栏中的“https://”。HTTPS中的“S”代表“安全”,表示浏览器和网站之间的通信是加密的。


771771威尼斯.cm安全资讯一周概览(0513-0519)

04

法国知名徒步旅游公司90万客户信息遭泄露



近日,专为徒步旅行者提供服务的法国旅游公司La Malle Postale发现其系统出现了数据泄露,泄露的信息包括姓名、电话号码、电子邮件、通过短信进行的私人通信、密码和员工的凭据。

La Malle Postale成立于2009年,在许多热门的徒步路线上为游客提供行李和运输服务,其中包括著名的圣地亚哥德孔波斯特拉朝圣路线。该公司服务获得客户的广泛好评,在猫途鹰(TripAdvisor)上获得了四星的总体评价。

Cybernews研究团队发现了一个可公开访问的数据存储,其中包含属于该公司客户的超过4GB的个人数据。

这些个人数据包括近9万名客户的姓名、电子邮件和电话号码,以及该公司与客户之间发送的13000多条短信。

此外,研究人员还偶然发现了7万个客户凭证。虽然泄露的密码不是纯文本,但密码均使用了极易破解的WordPress MD5/phpass散列算法进行散列。

电子邮件和密码一旦暴露还是比较危险的,因为恶意行为者可以直接用这些信息访问受害者可能正在使用的其他帐户。


771771威尼斯.cm点评

客户姓名、电子邮件、电话号码以及客户与公司之间的私人通信一旦被泄露,会随之带来各种网络攻击的风险。

其一就是身份盗窃。欺诈者可能利用这些泄露的个人信息,来冒充信息遭遇泄露的个人,并获得其财务账户或其他敏感信息。此外,犯罪分子可以直接用这些数据假冒本人去申请贷款或信用卡。

其二就是被泄露信息的客户个人信息可能被用来制作有针对性的网络钓鱼电子邮件,通过这种“看起来很可信的”邮件,去引导收件人上当受骗。

最后,威胁行为者还可能利用La Malle Postale在客户中的信誉进行社会工程攻击。犯罪分子可能会假装自己是公司的代表,通过打电话的方式直接获取客户的敏感信息。


771771威尼斯.cm安全资讯一周概览(0513-0519)

05

通过破解Sky ECC加密通信应用,欧洲刑警组织成功逮捕三名巴尔干毒枭



近日,塞尔维亚和荷兰的执法部门对巴尔干半岛的最大贩毒犯罪组织进行了协调突袭,逮捕了13名嫌疑人,其中包括三名被欧洲刑警组织视为高价值目标的犯罪组织领导人。

据了解,所有这些执法成果都建立在对Sky ECC的破解之上。Sky ECC是一款由Sky Global制作的订阅制端到端加密通讯应用程序,安装在去除了GPS、摄像头和麦克风的Google、Apple、Nokia和BlackBerry手机上,旨在避免交换的讯息被其他人所窥探。2021年3月,Sky Global首席执行官Jean-Francois Eap因向毒贩出售加密聊天设备、帮助他们逃避执法部门的追踪而被起诉,同时该平台也被执法部门取缔。

比利时警方后来表示,他们已经成功破解了Sky ECC的加密,这使他们能够监控约7万名该应用程序用户的信息流。所有截获的信息用于推动调查、逮捕和起诉。欧洲刑警组织还指出了另外两个相似的加密通讯服务EncroChat和ANOM,这些订阅制通讯应用程序同样也为犯罪分子所青睐,被用于隐藏他们的非法活动。上述三个通讯服务都已被执法部门渗透并取缔,其中的数据已成为对数千人的逮捕线索及起诉证据。


771771威尼斯.cm点评

不可避免地,使用这类数据作为逮捕嫌疑人的证据会涉及到一些法律风险(例如侵犯个人隐私),但到目前为止,法院通常会倾向于站在警方一边。就在前不久,英国国家犯罪局(NCA)在一场对用于获取EncroChat消息的搜查令提出质疑的案件中胜诉。对犯罪分子提供设备帮助其犯罪或隐匿都有可能面临刑事犯罪。


771771威尼斯.cm安全资讯一周概览(0513-0519)

06

谷歌推出了核心大语言模型PaLM 2可与GPT-4相媲美



近期,谷歌推出了PaLM 2,这是一系列核心语言模型(LLM),其功能可与OpenAI的GPT-4相媲美。在加利福尼亚州山景城举行的谷歌 I/O大会上,谷歌宣布它已经使用PaLM 2为25 种产品提供支持,包括其Bard对话式人工智能助手。

PaLM 2是一个大型语言模型 (LLM)系列,已经过大量数据训练,能够预测人类输入后的下一个单词。PaLM是“Pathways Language Model”的缩写,“Pathways”是谷歌创造的一种机器学习技术。

PaLM 2是 Google于2022年4月宣布的原始PaLM的续集。据谷歌称,PaLM 2支持超过100种语言,可以进行推理、代码生成和多语言翻译。

在谷歌I/O主题演讲中,谷歌首席执行官桑达尔·皮查伊 (Sundar Pichai)表示,PaLM 2有四种型号:壁虎、水獭、野牛和独角兽。Gecko是最小的,可以在移动设备上运行。除了Bard,PaLM 2还支持文档、电子表格和幻灯片中的AI功能。PaLM 2技术报告指出,PaLM 2在某些数学、翻译和逻辑任务中优于GPT-4。

但现实可能与谷歌的基准不符。在对PaLM 2的Bard版本的简短评估中,以及在各种非正式语言测试中,有专家表示PaLM 2实际表现出来的性能看起来比GPT-4和Bing差。


771771威尼斯.cm点评

GPT是一种基于深度学习的自然语言处理模型,它可以根据给定的文本数据生成自然流畅的文本内容。GPT的应用场景非常广泛,包括:自动文本生成、语义理解、自然语言处理工具、数学和代码,也可以作为AI生活助手、AI售后客服、办公场景助手等场景的智能对话系统,提供各种信息查询、建议、推荐等服务。随着更深层次的开发,未来一定会给生活和工作带来巨大的变化。


771771威尼斯.cm安全资讯一周概览(0513-0519)

07

丰田数据库公开近十年,数百万车主车辆信息面临泄露风险



上周五,日本知名汽车制造商丰田公司发布了一则通知:由于“云环境配置错误”,两百多万辆汽车的信息被公开了近十年。此次数据泄露事件涉及使用T-Connect 、G-Link、G-Link Lite、G-BOOK服务的215万客户,丰田在通知中向这部分客户致以歉意。

据丰田官网公告,泄露的信息包括车辆终端ID、底盘号和带有时间数据的车辆位置信息,以及车载摄像头的录制视频。丰田表示,虽然这些数据从2013年11月6日到2023年4月17日一直公开可见,但没有迹象表明它们被未经授权的人收集或使用。并且,值得庆幸的是,即使真发生了泄露,仅凭泄露的数据本身不足以识别到个人。

丰田公司认为此次事故的主要原因是对数据处理规则的解释不充分,丰田承诺会彻底教育员工并努力防止类似事件再次发生。关于为何长时间都没发现这一错误,丰田解释为其云服务缺乏“积极检测机制”,丰田表示今后会引入系统来审核云设置,进行云环境的配置调查,并构建一个系统来持续监控设置的状态。

值得注意的是,丰田这些年来多次遭遇数据泄露事件。2018年,丰田曾因数据泄露事件被罚款180万美元。2019年,丰田的澳大利亚分公司也曾因数据泄露事件被罚款200万澳元。这类数据泄露事件对企业的影响是巨大的,既会导致企业声誉受损,也会对客户信任产生负面影响。


771771威尼斯.cm点评

防止公司商业机密泄露需要企业从信息安全意识、网络安全管理制度、数据防泄密技术应用等各个层面入手,构建立体式、系统化、多维度、细粒度、多举措联合并用的方式来严防公司数据文件的泄密。首先,建立规范明细的企业数据安全管理制度和员工电脑使用行为规范。其次,从技术层面进行多维度、细粒度、全过程、多举措的商业机密保护举措。