嗨,這裡是《TO》本週資安事件懶人包,一樣告訴你本週數個不能錯過的資訊安全新聞事件。
(1)特斯拉車主注意了!特斯拉員工會私下笑嘻嘻地分享你的私人影片(馬斯克也是受害者)
本週最大條的資安新聞!對特斯拉車主來說可能更毛骨悚然。據《路透社》報導,特斯拉員工不正當地查看並分享了特斯拉車主車禍、路怒事件以及其他非常私人的影片,這些影片是透過安裝在汽車的自動駕駛功能攝影機上所拍攝的,檔案在 2019 年至 2022 年期間透過特斯拉的內部聊天系統共享。
報導指出,這些員工分享的影片甚至包括車主的裸體畫面,有一些員工甚至將影片中的畫面截圖下來製作成表情包,在私聊群組中分享這些「笑料」。一位特斯拉前員工告訴《路透社》有些影片可能還是在車輛熄火時錄製的。
諷刺的是,根據《路透社》報導,有數位員工看過一段外流影片,車主的特斯拉停於自家車庫內,旁邊則是一輛白色的 Lotus Esprit S1 “Wet Nellie”,這輛車因未曾出現在 1977 年的 007 電影而聲名大噪——2013 ,特斯拉執行長馬斯克(Elon Musk)才以 61 萬英鎊買下這輛車。
一名特斯拉現任員工向《路透社》指出,「老實說,這是對隱私的侵犯,在看到他們(特斯拉員工)如何對待這些人(車主)之後,我永遠不會買特斯拉。」
(2)Google 要求所有 Android Apps 允許用戶刪除數據
Google 近日開始要求 Android 開發者為 App 使用者提供刪除其帳戶數據的方法,以確保 Play 商店中的數據安全。
根據《9TO5Google》,未來那些允許使用者在 App 內創立帳戶的 App,必須要讓使用者可以刪除此帳戶以及與此帳戶相關聯的使用者數據,並且這些刪除選項要非常容易讓使用者找到且易於操作。
並且,「刪除帳戶與其相關數據」和部分 App 內所說的「臨時停用」、「禁用」或「凍結帳號」並不同,若 App 開發商出於安全、防詐或合規性等合法原因必須保留使用者的某些數據,則必須確實告知使用者保留數據的作法。
由於影響甚廣,Google 將會慢慢地推動這項政策要求,預計 Android 使用者明年(2024)初就會開始在應用程式中看到變化。
(3)OpenAI 發文介紹保障 AI 安全的方法
鏡頭轉到和智慧車一樣需要受到高度監管的另一個領域:人工智慧(AI)。發表了轟動全球的聊天機器人 ChatGPT 以及 GPT-4 等模型的 OpenAI,近期捲入諸多爭議事件,包括馬斯克等科技領袖聯手發表公開信,呼籲全球暫停開發 GPT-4 等模型 6 個月,或者義大利因隱私問題,開了第一槍宣布禁止使用 ChatGPT 等等,都讓 OpenAI 開始注意到向外界保證 AI 安全的重要性。
近日,OpenAI 在自家官方網站上分享了一篇關於他們如何確保 AI 安全的文章,內容提到,在 OpenAI 發表任何新系統之前,都會進行嚴格的測試、聘請外部專家進行回饋,並透過強化學習、人類回饋等技術不斷改進模型等。例如 GPT-4 就在完成訓練後,花了 6 個月的時間在 OpenAI 內部進行協助,確認其更為安全後才對外公開發表。
OpenAI 列出了 6 大要點,包括:建構越來越安全的 AI 系統、從實際使用中不斷學習改進保障措施、保護兒童、尊重隱私、提高事實準確性(據 OpenAI 官方說法,相較 GPT-3.5,GPT-4 針對生成事實內容增加了 40% 的準確性)、持續的研究與參與等等。
(4)美歐警方查封駭客市場 Genesis Market,逮捕 120 人
根據《華爾街日報》(WSJ),美國、歐洲刑警組織以及 14 個國家的警察聯合起來搗毀了網路犯罪網站 Genesis Market,該網站出售 8,000 萬個被盜的銀行、社群媒體、電郵帳戶,這些個資通常售價不到 1 美元,全球約有 200 萬名受害者。
在網站上出售的登入資訊包括 Facebook、Paypal、Netflix、Amazon、eBay、Uber 和 Airbnb 等等,Genesis Market 用戶可以購買這些登入資訊以及其他數位指紋(digital fingerprint),包括密碼、瀏覽器的歷史紀錄、cookie、自動填寫表格數據、IP 地址、位置等等。
Genesis Market 不只在暗網運作,而是在開放網路上,英國國家打擊犯罪局(NCA)指出,該網站是詐騙的一大推手。
據《BBC》報導,此次各國警方的聯合行動共在全球範圍內進行了 200 次搜查,逮捕了 120 人。現在連上 Genesis Market 網站,只會看到「該網站已被查封」的訊息。
(5) 小心!YouTube 詐騙郵件長得跟官方電郵地址一模一樣
最後一則新聞,又與 YouTube 有關了。YouTube 近期發出警告,有一個與官方電郵地址「一模一樣」的釣魚信件正在四處詐欺使用者。
本周稍早,內容創作者 Kevin Breeze 在 Twitter 上提醒他的粉絲們注意這項新的網路釣魚活動,在 Breeze 的貼文中可以看到郵件截圖,顯示發件人為 no-reply@youtube.com,這是 YouTube 使用的郵件地址,但這封信並非來自 YouTube。
在這封名為「YouTube 規則和政策的變化」的信件中包含了一個導向 Google Drive 的連結,並威脅用戶如果不打開連結並在 7 天內發送回覆,就會限制使用者使用 YouTube。YouTube 官方則呼籲,若收到這個郵件地址寄發的信件,不要存取或下載任何檔案。
本圖/文由「Techorange科技報橘」授權刊登,非經同意不得任意轉載。
原文出處:【本週資安事件懶人包】馬斯克也是受害者!特斯拉員工私下傳閱車主私密影片,還做成表情包
Polygon recent comments