ChatGPT научился воровать данные пользователей?
Исследователь в области кибербезопасности Иоганн Рейбергер выявил уязвимость в ChatGPT, которая позволяет злоумышленникам внедрять ложную информацию в память чат-бота с помощью вредоносных запросов. Эта проблема может угрожать конфиденциальности данных пользователей, а также, что ещё более важно, менять логику системы и заставлять её делать ложные выводы.
ChatGPT использует долговременную память для хранения информации о пользователе, включая возраст, пол и личные предпочтения. Это упрощает общение, так как чат-бот помнит важные данные из предыдущих разговоров. Однако путём известного приёма в виде непрямых инъекций, например, с помощью документов или ссылок, можно заставить систему поверить в несуществующие и фальсифицированные факты. В эксперименте исследователь убедил нейросеть в том, что он живёт в матрице, а Земля плоская. Все последующие диалоги с нейросетью основываются уже на этих инъектированных данных.
Особенно тревожной оказалась возможность использования внешних файловых хранилищ, таких как Google Drive, Яндекс Диск или OneDrive, для проведения этих атак.
В мае 2024 года Рейбергер сообщил об этой проблеме в OpenAI, но его обращение закрыли, не придав ей большого значения.
#нейросети #ии #безопасность
Исследователь в области кибербезопасности Иоганн Рейбергер выявил уязвимость в ChatGPT, которая позволяет злоумышленникам внедрять ложную информацию в память чат-бота с помощью вредоносных запросов. Эта проблема может угрожать конфиденциальности данных пользователей, а также, что ещё более важно, менять логику системы и заставлять её делать ложные выводы.
ChatGPT использует долговременную память для хранения информации о пользователе, включая возраст, пол и личные предпочтения. Это упрощает общение, так как чат-бот помнит важные данные из предыдущих разговоров. Однако путём известного приёма в виде непрямых инъекций, например, с помощью документов или ссылок, можно заставить систему поверить в несуществующие и фальсифицированные факты. В эксперименте исследователь убедил нейросеть в том, что он живёт в матрице, а Земля плоская. Все последующие диалоги с нейросетью основываются уже на этих инъектированных данных.
Особенно тревожной оказалась возможность использования внешних файловых хранилищ, таких как Google Drive, Яндекс Диск или OneDrive, для проведения этих атак.
В мае 2024 года Рейбергер сообщил об этой проблеме в OpenAI, но его обращение закрыли, не придав ей большого значения.
#нейросети #ии #безопасность
Законопроект об уголовной ответственности за оборот украденных персональных данных загнал кибер-сообщество в ситуацию цугцванга.
Нюанс в том, что законопроект не предусматривает исключений для компаний, занимающихся защитой инфраструктуры от атак и расследованием утечек данных, в том числе профильных госструктур.
Напомним, в обновлённой версии законопроекта уголовно наказуемо, в частности, создание ресурсов (сайт, IT-система, программа) для незаконных хранения и передачи информации, содержащей персональные данные, полученные незаконно. Максимальное наказание за подобные нарушения предусматривает лишение свободы на срок до пяти лет, штрафы до 700 тысяч рублей и иные ограничения.
Ужесточение ответственности за незаконный оборот данных может сократить количество ресурсов, занимающихся таким оборотом, однако не гарантирует полную их ликвидацию, так как злоумышленники не лишатся доступа к инструментам проникновения в организации
При этом законопроект не оставляет никаких возможностей расследовать подобные утечки, так как это также теперь будет являться уголовным преступлением. Тем самым законопроект может достичь прямо противоположного результата: изучение способов получения злоумышленниками персональных данных и утечек из баз данных окажется невозможным.
Кроме того, сами пострадавшие компании могут столкнуться с запретом отдельных направлений своей работы, включая поиск следов компрометации на хакерских форумах, что создаст дополнительные риски для безопасности данных.
#законодательство #интернет #безопасность
Нюанс в том, что законопроект не предусматривает исключений для компаний, занимающихся защитой инфраструктуры от атак и расследованием утечек данных, в том числе профильных госструктур.
Напомним, в обновлённой версии законопроекта уголовно наказуемо, в частности, создание ресурсов (сайт, IT-система, программа) для незаконных хранения и передачи информации, содержащей персональные данные, полученные незаконно. Максимальное наказание за подобные нарушения предусматривает лишение свободы на срок до пяти лет, штрафы до 700 тысяч рублей и иные ограничения.
Ужесточение ответственности за незаконный оборот данных может сократить количество ресурсов, занимающихся таким оборотом, однако не гарантирует полную их ликвидацию, так как злоумышленники не лишатся доступа к инструментам проникновения в организации
При этом законопроект не оставляет никаких возможностей расследовать подобные утечки, так как это также теперь будет являться уголовным преступлением. Тем самым законопроект может достичь прямо противоположного результата: изучение способов получения злоумышленниками персональных данных и утечек из баз данных окажется невозможным.
Кроме того, сами пострадавшие компании могут столкнуться с запретом отдельных направлений своей работы, включая поиск следов компрометации на хакерских форумах, что создаст дополнительные риски для безопасности данных.
#законодательство #интернет #безопасность
По информации сервиса поиска утечек и мониторинга даркнета DLBI, хакеры заявили, что им удалось получить доступ к данным «Ростелекома». Со слов злоумышленников, они скачали базы данных с сайтов company.rt.ru и zakupki.rostelecom.ru. В качестве доказательства хакеры предоставили фрагменты таблиц, содержащих информацию о зарегистрированных пользователях и обращениях, отправленных через формы на сайте. Данные в этих таблицах датированы 20 сентября 2024 года. Согласно утечке, в дампах содержится 154 тысячи уникальных адресов электронной почты и 101 тысяча уникальных номеров телефонов.
«Ростелеком» уже заявил, что утечка, вероятно, произошла из инфраструктуры одного из подрядчиков компании. Представители оператора связи подчеркнули, что инцидент не затронул особо чувствительные персональные данные клиентов. Тем не менее, в компании рекомендовали пользователям сбросить пароли и включить двухфакторную идентификацию.
В «Ростелекоме» также уточнили, что в настоящее время проводится анализ содержимого базы данных для определения масштабов компрометации. Речь идёт о сайтах company.rt.ru и zakupki.rostelecom.ru, которые, как отметили в компании, не предназначены для обслуживания физических лиц и не содержат особо чувствительных персональных данных. «Предварительно можно сказать, что утечки особо чувствительных персональных данных не было. Но мы рекомендуем пользователям ресурсов сбросить пароли и включить двухфакторную идентификацию, где она доступна», — добавили в компании.
Минцифры России также прокомментировало инцидент, сообщив, что 21 января 2025 года на инфраструктуру подрядчика «Ростелекома» была совершена хакерская атака. В ведомстве подчеркнули, что атака не затронула критически важные системы, такие как портал «Госуслуги», данные которого находятся под надёжной защитой. Чувствительные персональные данные частных клиентов компании-подрядчика также не были скомпрометированы.
Для защиты своих систем «Ростелеком» использует эшелонированный подход, включающий несколько взаимодополняющих мер безопасности. Однако, как уточнили в компании, системы подрядчика не находились под непосредственным контролем ИБ-специалистов «Ростелекома». В настоящее время Минцифры совместно с оператором связи работает над усилением защиты этой части инфраструктуры. «Все необходимые меры приняты, проводится подробное расследование», — заявили в ведомстве.
Этот инцидент стал очередным в череде утечек данных в России. Ещё в ноябре 2023 года президент «Ростелекома» Михаил Осеевский заявил, что личные данные практически всех россиян оказались в открытом доступе. По оценкам «Сбера», около 90% взрослого населения России столкнулись с утечкой своих персональных данных. «Ситуация давно уже выглядит плачевной. По нашим данным, около 3,5 миллиардов строк данных находятся в открытом доступе. Уже где‑то около 90% взрослого населения, к сожалению, в той или иной части имеют свои персональные данные в открытом доступе», — отметил представитель «Сбера».
В сентябре 2024 года «Ростелеком» совместно с дочерней компанией «Солар» (архитектор комплексной кибербезопасности) запустил для своих клиентов бесплатную опцию проверки персональных данных на предмет их утечки в интернете. Эта функция позволяет пользователям узнать, какая их личная информация попала в открытый доступ, а также получить рекомендации по безопасному хранению данных в сети. Однако, как показывает текущий инцидент, проблема утечек данных остаётся актуальной, и её решение требует комплексного подхода как со стороны компаний, так и со стороны пользователей.
Остаётся открытым только один вопрос: будет ли «Ростелеком» оштрафован на общих основаниях, или на масштабную утечку закроют глаза?
#утечки #безопасность #ростелеком
«Ростелеком» уже заявил, что утечка, вероятно, произошла из инфраструктуры одного из подрядчиков компании. Представители оператора связи подчеркнули, что инцидент не затронул особо чувствительные персональные данные клиентов. Тем не менее, в компании рекомендовали пользователям сбросить пароли и включить двухфакторную идентификацию.
В «Ростелекоме» также уточнили, что в настоящее время проводится анализ содержимого базы данных для определения масштабов компрометации. Речь идёт о сайтах company.rt.ru и zakupki.rostelecom.ru, которые, как отметили в компании, не предназначены для обслуживания физических лиц и не содержат особо чувствительных персональных данных. «Предварительно можно сказать, что утечки особо чувствительных персональных данных не было. Но мы рекомендуем пользователям ресурсов сбросить пароли и включить двухфакторную идентификацию, где она доступна», — добавили в компании.
Минцифры России также прокомментировало инцидент, сообщив, что 21 января 2025 года на инфраструктуру подрядчика «Ростелекома» была совершена хакерская атака. В ведомстве подчеркнули, что атака не затронула критически важные системы, такие как портал «Госуслуги», данные которого находятся под надёжной защитой. Чувствительные персональные данные частных клиентов компании-подрядчика также не были скомпрометированы.
Для защиты своих систем «Ростелеком» использует эшелонированный подход, включающий несколько взаимодополняющих мер безопасности. Однако, как уточнили в компании, системы подрядчика не находились под непосредственным контролем ИБ-специалистов «Ростелекома». В настоящее время Минцифры совместно с оператором связи работает над усилением защиты этой части инфраструктуры. «Все необходимые меры приняты, проводится подробное расследование», — заявили в ведомстве.
Этот инцидент стал очередным в череде утечек данных в России. Ещё в ноябре 2023 года президент «Ростелекома» Михаил Осеевский заявил, что личные данные практически всех россиян оказались в открытом доступе. По оценкам «Сбера», около 90% взрослого населения России столкнулись с утечкой своих персональных данных. «Ситуация давно уже выглядит плачевной. По нашим данным, около 3,5 миллиардов строк данных находятся в открытом доступе. Уже где‑то около 90% взрослого населения, к сожалению, в той или иной части имеют свои персональные данные в открытом доступе», — отметил представитель «Сбера».
В сентябре 2024 года «Ростелеком» совместно с дочерней компанией «Солар» (архитектор комплексной кибербезопасности) запустил для своих клиентов бесплатную опцию проверки персональных данных на предмет их утечки в интернете. Эта функция позволяет пользователям узнать, какая их личная информация попала в открытый доступ, а также получить рекомендации по безопасному хранению данных в сети. Однако, как показывает текущий инцидент, проблема утечек данных остаётся актуальной, и её решение требует комплексного подхода как со стороны компаний, так и со стороны пользователей.
Остаётся открытым только один вопрос: будет ли «Ростелеком» оштрафован на общих основаниях, или на масштабную утечку закроют глаза?
#утечки #безопасность #ростелеком
В 2025 году в России зафиксирован резкий рост краж денег с использованием NFC-технологий, и эта проблема приобретает массовый характер. По данным экспертов, число таких инцидентов уже превысило показатели всего 2024 года, а общий ущерб оценивается в более чем 100 миллионов рублей. Специалисты отмечают, что популярность схемы связана с её простотой и доступностью технологий, которыми пользуются мошенники, а также с уязвимостью пользователей, не осознающих риски бесконтактных платежей.
Схема мошенничества работает следующим образом: злоумышленники распространяют фишинговое программное обеспечение, маскируя его под легитимные банковские приложения или государственные сервисы. Жертву убеждают установить приложение, после чего просят приложить банковскую карту к NFC-модулю смартфона якобы для верификации или входа в систему, а иногда даже ввести PIN-код. В результате данные карты передаются мошенникам, которые привязывают её к своему устройству. Затем они используют смартфон как виртуальный аналог карты, снимая наличные в банкоматах с поддержкой бесконтактных технологий или совершая покупки в магазинах. C ноября 2024 года подобные атаки участились, а к январю 2025 года было зафиксировано не менее 400 случаев с ущербом в 40 миллионов рублей только за два месяца.
Проблема усугубляется сложностью в поимке преступников. Мошенники могут действовать из любого региона России или даже из-за рубежа, используя виртуальные серверы и анонимные сети, что делает их практически неуловимыми. Несогласованность действий между региональными управлениями полиции ещё больше осложняет оперативный розыск. Как правило, суммы разовых хищений невелики — в среднем около 10–15 тысяч рублей, что ниже порога, при котором полиция активно начинает расследование. Согласно статистике Банка России, за третий квартал 2024 года мошенники украли у граждан 9,3 миллиарда рублей, из которых лишь малая часть приходится на NFC-схемы, но их доля стремительно растёт. Эксперты прогнозируют, что в 2025 году ущерб от таких атак может достичь 500 миллионов рублей, если не будут приняты срочные меры.
Причина уязвимости кроется в массовом распространении NFC-технологий: модули есть почти в каждом современном смартфоне, а бесконтактные карты вытеснили традиционные с магнитной полосой. После введения санкций в 2022 году, когда приложения крупных банков, таких как Сбербанк и ВТБ, исчезли из Google Play и App Store, россияне начали скачивать софт из ненадёжных источников, что дало мошенникам новые возможности. Лаборатория Касперского сообщала, что в 2024 году число атак с использованием фальшивых приложений выросло на 35%, и этот тренд сохраняется.
Для защиты эксперты рекомендуют отключать NFC на смартфоне, когда он не используется, не устанавливать приложения по ссылкам из мессенджеров или СМС, а также проверять подлинность софта через официальные магазины. Однако низкая осведомлённость населения и отсутствие единой системы противодействия со стороны банков и правоохранительных органов позволяют мошенникам наращивать масштабы атак, оставляя россиян беззащитными перед этой угрозой.
#безопасность #преступность #nfc
Схема мошенничества работает следующим образом: злоумышленники распространяют фишинговое программное обеспечение, маскируя его под легитимные банковские приложения или государственные сервисы. Жертву убеждают установить приложение, после чего просят приложить банковскую карту к NFC-модулю смартфона якобы для верификации или входа в систему, а иногда даже ввести PIN-код. В результате данные карты передаются мошенникам, которые привязывают её к своему устройству. Затем они используют смартфон как виртуальный аналог карты, снимая наличные в банкоматах с поддержкой бесконтактных технологий или совершая покупки в магазинах. C ноября 2024 года подобные атаки участились, а к январю 2025 года было зафиксировано не менее 400 случаев с ущербом в 40 миллионов рублей только за два месяца.
Проблема усугубляется сложностью в поимке преступников. Мошенники могут действовать из любого региона России или даже из-за рубежа, используя виртуальные серверы и анонимные сети, что делает их практически неуловимыми. Несогласованность действий между региональными управлениями полиции ещё больше осложняет оперативный розыск. Как правило, суммы разовых хищений невелики — в среднем около 10–15 тысяч рублей, что ниже порога, при котором полиция активно начинает расследование. Согласно статистике Банка России, за третий квартал 2024 года мошенники украли у граждан 9,3 миллиарда рублей, из которых лишь малая часть приходится на NFC-схемы, но их доля стремительно растёт. Эксперты прогнозируют, что в 2025 году ущерб от таких атак может достичь 500 миллионов рублей, если не будут приняты срочные меры.
Причина уязвимости кроется в массовом распространении NFC-технологий: модули есть почти в каждом современном смартфоне, а бесконтактные карты вытеснили традиционные с магнитной полосой. После введения санкций в 2022 году, когда приложения крупных банков, таких как Сбербанк и ВТБ, исчезли из Google Play и App Store, россияне начали скачивать софт из ненадёжных источников, что дало мошенникам новые возможности. Лаборатория Касперского сообщала, что в 2024 году число атак с использованием фальшивых приложений выросло на 35%, и этот тренд сохраняется.
Для защиты эксперты рекомендуют отключать NFC на смартфоне, когда он не используется, не устанавливать приложения по ссылкам из мессенджеров или СМС, а также проверять подлинность софта через официальные магазины. Однако низкая осведомлённость населения и отсутствие единой системы противодействия со стороны банков и правоохранительных органов позволяют мошенникам наращивать масштабы атак, оставляя россиян беззащитными перед этой угрозой.
#безопасность #преступность #nfc