普普安全資訊一周概覽(0513-0519)

作者:

時(shí)間:
2023-05-19
01

歐盟將立法嚴(yán)格監(jiān)管人工智能技術(shù)應(yīng)用




歐洲議會(huì)兩個(gè)委員會(huì)11日通過(guò)《人工智能法案》提案的談判授權(quán)草案,向立法嚴(yán)格監(jiān)管人工智能技術(shù)的應(yīng)用邁出關(guān)鍵一步。

歐洲議會(huì)當(dāng)天發(fā)表聲明說(shuō),議會(huì)內(nèi)部市場(chǎng)委員會(huì)和公民自由委員會(huì)以壓倒多數(shù)通過(guò)歐盟委員會(huì)于2021年4月提出的《人工智能法案》提案的談判授權(quán)草案。新文本將嚴(yán)格禁止“對(duì)人類安全造成不可接受風(fēng)險(xiǎn)的人工智能系統(tǒng)”,包括有目的地操縱技術(shù)、利用人性弱點(diǎn)或根據(jù)行為、社會(huì)地位和個(gè)人特征等進(jìn)行評(píng)價(jià)的系統(tǒng)等。

談判授權(quán)草案還要求人工智能公司對(duì)其算法保持人為控制,提供技術(shù)文件,并為 “高風(fēng)險(xiǎn)”應(yīng)用建立風(fēng)險(xiǎn)管理系統(tǒng)。每個(gè)歐盟成員國(guó)都將設(shè)立一個(gè)監(jiān)督機(jī)構(gòu),確保這些規(guī)則得到遵守。

這一草案將于6月中旬提交歐洲議會(huì)全會(huì)表決,之后歐洲議會(huì)將與歐盟理事會(huì)就法律的最終形式進(jìn)行談判。歐洲議會(huì)的聲明說(shuō),一旦獲得批準(zhǔn),這將成為全世界首部有關(guān)人工智能的法規(guī)。


普普點(diǎn)評(píng)

科技是把“雙刃劍”,從實(shí)驗(yàn)室到經(jīng)濟(jì)社會(huì)的廣泛應(yīng)用,中間還需要加一道“安全防護(hù)墻”。對(duì)于人工智能技術(shù)及其產(chǎn)品的研發(fā)和使用,從規(guī)范制度體系層面要加強(qiáng)三方面監(jiān)管。一是通過(guò)倫理范疇來(lái)進(jìn)行規(guī)范,二是通過(guò)標(biāo)準(zhǔn)規(guī)范方式來(lái)約束技術(shù)的使用,三是通過(guò)法律法規(guī)來(lái)加強(qiáng)監(jiān)管,讓技術(shù)及其產(chǎn)品在經(jīng)濟(jì)社會(huì)中規(guī)范使用。從組織層面也要加強(qiáng)規(guī)范,一是研發(fā)技術(shù)和產(chǎn)品的企業(yè)對(duì)風(fēng)險(xiǎn)要進(jìn)行自控,二是相關(guān)行業(yè)協(xié)會(huì)對(duì)人工智能技術(shù)和產(chǎn)品的研發(fā)和使用要進(jìn)行自律,三是政府要通過(guò)制定法律法規(guī)來(lái)促進(jìn)和約束人工智能及其產(chǎn)品的使用,這是對(duì)技術(shù)和產(chǎn)品風(fēng)險(xiǎn)控制的“最后一道防線”。


普普安全資訊一周概覽(0513-0519)

02

智能家居安全性有多重要?



物聯(lián)網(wǎng)(IoT)的興起改變了我們的生活方式以及與家庭的互動(dòng)方式。近年來(lái),恒溫器、相機(jī)和語(yǔ)音助手等智能家居設(shè)備,因其便利性和簡(jiǎn)化日常任務(wù)的能力而變得越來(lái)越流行。然而,隨著越來(lái)越多的智能設(shè)備連接到互聯(lián)網(wǎng),網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)也在增加,這使得這些設(shè)備的安全成為一個(gè)至關(guān)重要的問(wèn)題。

為了解決這一問(wèn)題,包括亞馬遜、蘋果、谷歌和庫(kù)德爾斯基物聯(lián)網(wǎng)在內(nèi)的一組科技企業(yè)已經(jīng)聯(lián)合起來(lái)創(chuàng)建了Matter標(biāo)準(zhǔn)。Matter是一種開源、免版稅的標(biāo)準(zhǔn),旨在使智能設(shè)備更容易相互協(xié)作并與多個(gè)生態(tài)系統(tǒng)協(xié)同工作。該標(biāo)準(zhǔn)將允許設(shè)備使用通用語(yǔ)言相互通信,使消費(fèi)者更容易設(shè)置和管理智能家居設(shè)備。

Matter還將優(yōu)先考慮安全性,這是任何智能家居設(shè)備的重要組成部分。該標(biāo)準(zhǔn)的主要目標(biāo)之一是確保智能設(shè)備在設(shè)計(jì)上是安全的,這意味著從一開始就在設(shè)備中內(nèi)置安全功能。例如,設(shè)備將被要求具有唯一的身份和連接互聯(lián)網(wǎng)的安全方法,這使得黑客更難獲得未經(jīng)授權(quán)的訪問(wèn)。


普普點(diǎn)評(píng)

智能家居設(shè)備安全的重要性怎么強(qiáng)調(diào)都不為過(guò)。智能家居設(shè)備可以收集和存儲(chǔ)敏感數(shù)據(jù),例如我們的日常生活和個(gè)人信息。隨著智能家居設(shè)備越來(lái)越融入我們的生活,在設(shè)計(jì)時(shí)考慮到安全性至關(guān)重要。消費(fèi)者必須能夠相信他們的設(shè)備是安全的,他們的數(shù)據(jù)是受保護(hù)的。Matter標(biāo)準(zhǔn)是朝著正確方向邁出的重要一步,因?yàn)樗鼉?yōu)先考慮安全性和互操作性,確保智能家居設(shè)備易于使用且設(shè)計(jì)安全。


普普安全資訊一周概覽(0513-0519)

03

判70年!Twitter 2020 網(wǎng)絡(luò)攻擊案主謀認(rèn)罪



近日,一名英國(guó)人已就2020年7月盜取眾多高知名度賬戶和詐騙該平臺(tái)其他用戶的推特攻擊事件表示認(rèn)罪。美國(guó)司法部(DoJ)表示,約瑟夫-詹姆斯-奧康納(Joseph James O'Connor)在網(wǎng)上化名為PlugwalkJoe,他承認(rèn) '在網(wǎng)絡(luò)跟蹤和涉及計(jì)算機(jī)黑客的多個(gè)事件中的不法行為,包括2020年7月對(duì)Twitter的黑客攻擊'。發(fā)生在2020年7月15日的大規(guī)模黑客攻擊,涉及奧康納和他的同謀者盜取了130個(gè)Twitter賬戶,這些賬戶中包括巴拉克-奧巴馬、比爾-蓋茨和埃隆-馬斯克的賬戶,并通過(guò)這些賬戶實(shí)施加密貨幣騙局,在幾個(gè)小時(shí)內(nèi)凈賺12萬(wàn)美元。

這次攻擊是通過(guò)社會(huì)工程技術(shù)獲得對(duì)Twitter后臺(tái)的訪問(wèn)權(quán)限,然后利用這個(gè)入口點(diǎn)來(lái)盜取賬戶,并在某些情況下將賬戶訪問(wèn)權(quán)出售給其他人。奧康納是被指控實(shí)施Twitter黑客攻擊的四個(gè)人之一。尼瑪-法澤里和格雷厄姆-伊萬(wàn)-克拉克在同一個(gè)月被捕,而奧康納在一年后的2021年7月在埃斯特波納鎮(zhèn)被西班牙當(dāng)局逮捕。據(jù)BBC的Joe Tidy報(bào)道,Mason Sheppard還沒有被逮捕??死嗽?021年3月對(duì)30項(xiàng)重罪指控認(rèn)罪后被判處三年監(jiān)禁。

除了推特事件,被告人還被指控入侵TikTok和Snapchat用戶賬戶的犯罪行為,以及在網(wǎng)上跟蹤一名青少年受害者。


普普點(diǎn)評(píng)

隨著威脅形勢(shì)的不斷發(fā)展,建立全面的網(wǎng)絡(luò)安全解決方案需要外圍安全性和主動(dòng)的網(wǎng)內(nèi)防御 。首先,需要確保防火墻處于活動(dòng)狀態(tài),配置正確,并且最好是下一代防火墻; 此外,對(duì)于個(gè)人密碼,應(yīng)該采取一些措施來(lái)強(qiáng)化密碼。例如,密碼短語(yǔ)已經(jīng)被證明更容易跟蹤并且更難以破解。密碼管理器也可用于跟蹤密碼并確保密碼安全。輸入個(gè)人信息以完成金融交易時(shí),請(qǐng)留意地址欄中的“https://”。HTTPS中的“S”代表“安全”,表示瀏覽器和網(wǎng)站之間的通信是加密的。


普普安全資訊一周概覽(0513-0519)

04

法國(guó)知名徒步旅游公司90萬(wàn)客戶信息遭泄露



近日,專為徒步旅行者提供服務(wù)的法國(guó)旅游公司La Malle Postale發(fā)現(xiàn)其系統(tǒng)出現(xiàn)了數(shù)據(jù)泄露,泄露的信息包括姓名、電話號(hào)碼、電子郵件、通過(guò)短信進(jìn)行的私人通信、密碼和員工的憑據(jù)。

La Malle Postale成立于2009年,在許多熱門的徒步路線上為游客提供行李和運(yùn)輸服務(wù),其中包括著名的圣地亞哥德孔波斯特拉朝圣路線。該公司服務(wù)獲得客戶的廣泛好評(píng),在貓途鷹(TripAdvisor)上獲得了四星的總體評(píng)價(jià)。

Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)可公開訪問(wèn)的數(shù)據(jù)存儲(chǔ),其中包含屬于該公司客戶的超過(guò)4GB的個(gè)人數(shù)據(jù)。

這些個(gè)人數(shù)據(jù)包括近9萬(wàn)名客戶的姓名、電子郵件和電話號(hào)碼,以及該公司與客戶之間發(fā)送的13000多條短信。

此外,研究人員還偶然發(fā)現(xiàn)了7萬(wàn)個(gè)客戶憑證。雖然泄露的密碼不是純文本,但密碼均使用了極易破解的WordPress MD5/phpass散列算法進(jìn)行散列。

電子郵件和密碼一旦暴露還是比較危險(xiǎn)的,因?yàn)閻阂庑袨檎呖梢灾苯佑眠@些信息訪問(wèn)受害者可能正在使用的其他帳戶。


普普點(diǎn)評(píng)

客戶姓名、電子郵件、電話號(hào)碼以及客戶與公司之間的私人通信一旦被泄露,會(huì)隨之帶來(lái)各種網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

其一就是身份盜竊。欺詐者可能利用這些泄露的個(gè)人信息,來(lái)冒充信息遭遇泄露的個(gè)人,并獲得其財(cái)務(wù)賬戶或其他敏感信息。此外,犯罪分子可以直接用這些數(shù)據(jù)假冒本人去申請(qǐng)貸款或信用卡。

其二就是被泄露信息的客戶個(gè)人信息可能被用來(lái)制作有針對(duì)性的網(wǎng)絡(luò)釣魚電子郵件,通過(guò)這種“看起來(lái)很可信的”郵件,去引導(dǎo)收件人上當(dāng)受騙。

最后,威脅行為者還可能利用La Malle Postale在客戶中的信譽(yù)進(jìn)行社會(huì)工程攻擊。犯罪分子可能會(huì)假裝自己是公司的代表,通過(guò)打電話的方式直接獲取客戶的敏感信息。


普普安全資訊一周概覽(0513-0519)

05

通過(guò)破解Sky ECC加密通信應(yīng)用,歐洲刑警組織成功逮捕三名巴爾干毒梟



近日,塞爾維亞和荷蘭的執(zhí)法部門對(duì)巴爾干半島的最大販毒犯罪組織進(jìn)行了協(xié)調(diào)突襲,逮捕了13名嫌疑人,其中包括三名被歐洲刑警組織視為高價(jià)值目標(biāo)的犯罪組織領(lǐng)導(dǎo)人。

據(jù)了解,所有這些執(zhí)法成果都建立在對(duì)Sky ECC的破解之上。Sky ECC是一款由Sky Global制作的訂閱制端到端加密通訊應(yīng)用程序,安裝在去除了GPS、攝像頭和麥克風(fēng)的Google、Apple、Nokia和BlackBerry手機(jī)上,旨在避免交換的訊息被其他人所窺探。2021年3月,Sky Global首席執(zhí)行官Jean-Francois Eap因向毒販出售加密聊天設(shè)備、幫助他們逃避執(zhí)法部門的追蹤而被起訴,同時(shí)該平臺(tái)也被執(zhí)法部門取締。

比利時(shí)警方后來(lái)表示,他們已經(jīng)成功破解了Sky ECC的加密,這使他們能夠監(jiān)控約7萬(wàn)名該應(yīng)用程序用戶的信息流。所有截獲的信息用于推動(dòng)調(diào)查、逮捕和起訴。歐洲刑警組織還指出了另外兩個(gè)相似的加密通訊服務(wù)EncroChat和ANOM,這些訂閱制通訊應(yīng)用程序同樣也為犯罪分子所青睞,被用于隱藏他們的非法活動(dòng)。上述三個(gè)通訊服務(wù)都已被執(zhí)法部門滲透并取締,其中的數(shù)據(jù)已成為對(duì)數(shù)千人的逮捕線索及起訴證據(jù)。


普普點(diǎn)評(píng)

不可避免地,使用這類數(shù)據(jù)作為逮捕嫌疑人的證據(jù)會(huì)涉及到一些法律風(fēng)險(xiǎn)(例如侵犯?jìng)€(gè)人隱私),但到目前為止,法院通常會(huì)傾向于站在警方一邊。就在前不久,英國(guó)國(guó)家犯罪局(NCA)在一場(chǎng)對(duì)用于獲取EncroChat消息的搜查令提出質(zhì)疑的案件中勝訴。對(duì)犯罪分子提供設(shè)備幫助其犯罪或隱匿都有可能面臨刑事犯罪。


普普安全資訊一周概覽(0513-0519)

06

谷歌推出了核心大語(yǔ)言模型PaLM 2可與GPT-4相媲美



近期,谷歌推出了PaLM 2,這是一系列核心語(yǔ)言模型(LLM),其功能可與OpenAI的GPT-4相媲美。在加利福尼亞州山景城舉行的谷歌 I/O大會(huì)上,谷歌宣布它已經(jīng)使用PaLM 2為25 種產(chǎn)品提供支持,包括其Bard對(duì)話式人工智能助手。

PaLM 2是一個(gè)大型語(yǔ)言模型 (LLM)系列,已經(jīng)過(guò)大量數(shù)據(jù)訓(xùn)練,能夠預(yù)測(cè)人類輸入后的下一個(gè)單詞。PaLM是“Pathways Language Model”的縮寫,“Pathways”是谷歌創(chuàng)造的一種機(jī)器學(xué)習(xí)技術(shù)。

PaLM 2是 Google于2022年4月宣布的原始PaLM的續(xù)集。據(jù)谷歌稱,PaLM 2支持超過(guò)100種語(yǔ)言,可以進(jìn)行推理、代碼生成和多語(yǔ)言翻譯。

在谷歌I/O主題演講中,谷歌首席執(zhí)行官桑達(dá)爾·皮查伊 (Sundar Pichai)表示,PaLM 2有四種型號(hào):壁虎、水獺、野牛和獨(dú)角獸。Gecko是最小的,可以在移動(dòng)設(shè)備上運(yùn)行。除了Bard,PaLM 2還支持文檔、電子表格和幻燈片中的AI功能。PaLM 2技術(shù)報(bào)告指出,PaLM 2在某些數(shù)學(xué)、翻譯和邏輯任務(wù)中優(yōu)于GPT-4。

但現(xiàn)實(shí)可能與谷歌的基準(zhǔn)不符。在對(duì)PaLM 2的Bard版本的簡(jiǎn)短評(píng)估中,以及在各種非正式語(yǔ)言測(cè)試中,有專家表示PaLM 2實(shí)際表現(xiàn)出來(lái)的性能看起來(lái)比GPT-4和Bing差。


普普點(diǎn)評(píng)

GPT是一種基于深度學(xué)習(xí)的自然語(yǔ)言處理模型,它可以根據(jù)給定的文本數(shù)據(jù)生成自然流暢的文本內(nèi)容。GPT的應(yīng)用場(chǎng)景非常廣泛,包括:自動(dòng)文本生成、語(yǔ)義理解、自然語(yǔ)言處理工具、數(shù)學(xué)和代碼,也可以作為AI生活助手、AI售后客服、辦公場(chǎng)景助手等場(chǎng)景的智能對(duì)話系統(tǒng),提供各種信息查詢、建議、推薦等服務(wù)。隨著更深層次的開發(fā),未來(lái)一定會(huì)給生活和工作帶來(lái)巨大的變化。


普普安全資訊一周概覽(0513-0519)

07

豐田數(shù)據(jù)庫(kù)公開近十年,數(shù)百萬(wàn)車主車輛信息面臨泄露風(fēng)險(xiǎn)



上周五,日本知名汽車制造商豐田公司發(fā)布了一則通知:由于“云環(huán)境配置錯(cuò)誤”,兩百多萬(wàn)輛汽車的信息被公開了近十年。此次數(shù)據(jù)泄露事件涉及使用T-Connect 、G-Link、G-Link Lite、G-BOOK服務(wù)的215萬(wàn)客戶,豐田在通知中向這部分客戶致以歉意。

據(jù)豐田官網(wǎng)公告,泄露的信息包括車輛終端ID、底盤號(hào)和帶有時(shí)間數(shù)據(jù)的車輛位置信息,以及車載攝像頭的錄制視頻。豐田表示,雖然這些數(shù)據(jù)從2013年11月6日到2023年4月17日一直公開可見,但沒有跡象表明它們被未經(jīng)授權(quán)的人收集或使用。并且,值得慶幸的是,即使真發(fā)生了泄露,僅憑泄露的數(shù)據(jù)本身不足以識(shí)別到個(gè)人。

豐田公司認(rèn)為此次事故的主要原因是對(duì)數(shù)據(jù)處理規(guī)則的解釋不充分,豐田承諾會(huì)徹底教育員工并努力防止類似事件再次發(fā)生。關(guān)于為何長(zhǎng)時(shí)間都沒發(fā)現(xiàn)這一錯(cuò)誤,豐田解釋為其云服務(wù)缺乏“積極檢測(cè)機(jī)制”,豐田表示今后會(huì)引入系統(tǒng)來(lái)審核云設(shè)置,進(jìn)行云環(huán)境的配置調(diào)查,并構(gòu)建一個(gè)系統(tǒng)來(lái)持續(xù)監(jiān)控設(shè)置的狀態(tài)。

值得注意的是,豐田這些年來(lái)多次遭遇數(shù)據(jù)泄露事件。2018年,豐田曾因數(shù)據(jù)泄露事件被罰款180萬(wàn)美元。2019年,豐田的澳大利亞分公司也曾因數(shù)據(jù)泄露事件被罰款200萬(wàn)澳元。這類數(shù)據(jù)泄露事件對(duì)企業(yè)的影響是巨大的,既會(huì)導(dǎo)致企業(yè)聲譽(yù)受損,也會(huì)對(duì)客戶信任產(chǎn)生負(fù)面影響。


普普點(diǎn)評(píng)

防止公司商業(yè)機(jī)密泄露需要企業(yè)從信息安全意識(shí)、網(wǎng)絡(luò)安全管理制度、數(shù)據(jù)防泄密技術(shù)應(yīng)用等各個(gè)層面入手,構(gòu)建立體式、系統(tǒng)化、多維度、細(xì)粒度、多舉措聯(lián)合并用的方式來(lái)嚴(yán)防公司數(shù)據(jù)文件的泄密。首先,建立規(guī)范明細(xì)的企業(yè)數(shù)據(jù)安全管理制度和員工電腦使用行為規(guī)范。其次,從技術(shù)層面進(jìn)行多維度、細(xì)粒度、全過(guò)程、多舉措的商業(yè)機(jī)密保護(hù)舉措。