Η εταιρεία ενοικίασης αυτοκινήτων Europcar λέει ότι δεν έχει υποστεί παραβίαση δεδομένων και ότι τα κοινά δεδομένα πελατών είναι πλαστά αφού ένας παράγοντας απειλών ισχυρίστηκε ότι πούλησε τα προσωπικά στοιχεία 50 εκατομμυρίων πελατών.
Την Κυριακή, ένα άτομο ισχυρίστηκε ότι πουλούσε τα δεδομένα για 48.606.700 πελάτες του Europcar.com σε ένα δημοφιλές φόρουμ hacking.
Η ανάρτηση περιελάμβανε
δείγματα
των κλεμμένων δεδομένων για 31 φερόμενους πελάτες της Europcar, συμπεριλαμβανομένων ονομάτων, διευθύνσεων, ημερομηνιών
γέννηση
ς, αριθμούς άδειας οδήγησης και άλλων πληροφοριών.
Εισβολή ανάρτησης στο φόρουμ που πουλούσε υποτιθέμενα δεδομένα από την Europcar
Πηγή: BleepingComputer
Ωστόσο, μετά από επικοινωνία με την Europcar χθες το βράδυ,
Το BleepingComputer είπαν
ότι η παραβίαση ήταν ψεύτικη και ότι τα δεδομένα κατασκευάστηκαν με χρήση τεχνητής νοημοσύνης.
«Αφού ειδοποιηθήκαμε από μια υπηρεσία πληροφοριών απειλών ότι ένας λογαριασμός προσποιείται ότι πουλά δεδομένα Europcar στο σκοτεινό δίκτυο και ελέγχουμε διεξοδικά τα δεδομένα που περιέχονται στο δείγμα, είμαστε βέβαιοι ότι αυτή η διαφήμιση είναι ψευδής:
– ο αριθμός των εγγραφών είναι εντελώς λανθασμένος και ασυνεπής με τον δικό μας,
– τα δείγματα δεδομένων είναι πιθανό να έχουν δημιουργηθεί από το ChatGPT (οι διευθύνσεις δεν υπάρχουν, οι ταχυδρομικοί κώδικες δεν ταιριάζουν, το όνομα και το επώνυμο δεν ταιριάζουν με τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου χρησιμοποιούν πολύ ασυνήθιστους κωδικούς TLD),
– και το πιο σημαντικό: καμία από αυτές τις διευθύνσεις email δεν υπάρχει στη βάση δεδομένων μας.”
Όπως εξηγεί το Troy Hunt του Have I Been Pwned, ενώ πολλά από τα δεδομένα είναι ξεκάθαρα πλαστά, δεν πιστεύει ότι δημιουργήθηκαν με χρήση τεχνητής νοημοσύνης.
Ο Hunt επεσήμανε ότι οι διευθύνσεις email δεν ταιριάζουν με τα ονόματα χρήστη. Για παράδειγμα, όλα τα ονόματα χρήστη περιέχουν είτε όνομα είτε επώνυμο, αλλά κανένα δεν ταιριάζει με το πλήρες όνομα που αναφέρεται στα δεδομένα.
Η δεύτερη ένδειξη ότι τα δεδομένα είναι πλαστά είναι ότι οι διευθύνσεις απλά δεν υπάρχουν. Για παράδειγμα, δύο από τα καταχωρημένα
αρχεία
πελατών χρησιμοποιούν τις ανύπαρκτες πόλεις “Lake Alyssaberg, DC” και “West Paulburgh, PA”.
Η
αναζήτηση Google
που υποδεικνύει μια διεύθυνση είναι ψεύτικη
Πηγή: BleepingComputer
Ένας άλλος δείκτης είναι ότι οι διευθύνσεις και οι αριθμοί τηλεφώνου είναι για περιοχές στις
ΗΠΑ
, ωστόσο πολλά από τα συσχετισμένα μηνύματα ηλεκτρονικού ταχυδρομείου προορίζονται για άλλες χώρες.
Ενώ η Europcar είπε στο BleepingComputer ότι πιστεύουν ότι αυτά τα δεδομένα δημιουργήθηκαν με χρήση τεχνητής νοημοσύνης, ο Hunt επισημαίνει ότι ορισμένες από τις διευθύνσεις ηλεκτρονικού ταχυδρομείου είναι πραγματικές και εμφανίζονται σε προηγούμενες παραβιάσεις δεδομένων που παρακολουθούσε το Have I Been Pwned.
Αντίθετα, ο Hunt πιστεύει ότι η αναφορά της τεχνητής νοημοσύνης είναι απλώς μια καυτή άποψη που βασίζεται στη δημοτικότητα του θέματος και δεν συμμετείχε στη δημιουργία αυτών των δεδομένων.
“Έχουμε κατασκευασμένες παραβιάσεις από πάντα επειδή οι άνθρωποι θέλουν χρόνο ομιλίας ή για να κάνουν όνομα ή ίσως ένα γρήγορο ποσό.”
εξηγεί ο Χαντ
.
“Ποιος ξέρει, δεν πειράζει, γιατί τίποτα από αυτά δεν το κάνει “AI” και το να αναζητάς τίτλους ή να στέλνεις μηνύματα ανεπιθύμητης αλληλογραφίας σε αυτή τη βάση είναι απλά χαζό.”
Όπως επισημαίνει ερευνητής ασφάλειας
NexusFuzzy
υπάρχουν
υφιστάμενα έργα
που επιτρέπουν σε οποιονδήποτε να δημιουργήσει δεδομένα που μοιάζουν σχεδόν ακριβώς με αυτά που κοινοποιήθηκαν στα πλαστά δείγματα παραβίασης δεδομένων.
Ενώ οι φορείς απειλών χρησιμοποιούν ήδη την τεχνητή νοημοσύνη ως μέρος των απατών και των επιθέσεων τους και πιθανότατα θα επεκτείνουν τη χρήση της στο μέλλον, αυτό το περιστατικό δεν φαίνεται να είναι ένα από αυτά.
VIA:
bleepingcomputer.com
