嗨，這裡是《TO》本週資安事件懶人包，一樣告訴你本週數個不能錯過的資訊安全新聞事件。

（1）特斯拉車主注意了！特斯拉員工會私下笑嘻嘻地分享你的私人影片（馬斯克也是受害者）

本週最大條的資安新聞！對特斯拉車主來說可能更毛骨悚然。據《路透社》報導，特斯拉員工不正當地查看並分享了特斯拉車主車禍、路怒事件以及其他非常私人的影片，這些影片是透過安裝在汽車的自動駕駛功能攝影機上所拍攝的，檔案在 2019 年至 2022 年期間透過特斯拉的內部聊天系統共享。

報導指出，這些員工分享的影片甚至包括車主的裸體畫面，有一些員工甚至將影片中的畫面截圖下來製作成表情包，在私聊群組中分享這些「笑料」。一位特斯拉前員工告訴《路透社》有些影片可能還是在車輛熄火時錄製的。

諷刺的是，根據《路透社》報導，有數位員工看過一段外流影片，車主的特斯拉停於自家車庫內，旁邊則是一輛白色的 Lotus Esprit S1 “Wet Nellie”，這輛車因未曾出現在 1977 年的 007 電影而聲名大噪——2013 ，特斯拉執行長馬斯克（Elon Musk）才以 61 萬英鎊買下這輛車。

一名特斯拉現任員工向《路透社》指出，「老實說，這是對隱私的侵犯，在看到他們（特斯拉員工）如何對待這些人（車主）之後，我永遠不會買特斯拉。」

（2）Google 要求所有 Android Apps 允許用戶刪除數據

Google 近日開始要求 Android 開發者為 App 使用者提供刪除其帳戶數據的方法，以確保 Play 商店中的數據安全。

根據《9TO5Google》，未來那些允許使用者在 App 內創立帳戶的 App，必須要讓使用者可以刪除此帳戶以及與此帳戶相關聯的使用者數據，並且這些刪除選項要非常容易讓使用者找到且易於操作。

並且，「刪除帳戶與其相關數據」和部分 App 內所說的「臨時停用」、「禁用」或「凍結帳號」並不同，若 App 開發商出於安全、防詐或合規性等合法原因必須保留使用者的某些數據，則必須確實告知使用者保留數據的作法。

由於影響甚廣，Google 將會慢慢地推動這項政策要求，預計 Android 使用者明年（2024）初就會開始在應用程式中看到變化。

（3）OpenAI 發文介紹保障 AI 安全的方法

鏡頭轉到和智慧車一樣需要受到高度監管的另一個領域：人工智慧（AI）。發表了轟動全球的聊天機器人 ChatGPT 以及 GPT-4 等模型的 OpenAI，近期捲入諸多爭議事件，包括馬斯克等科技領袖聯手發表公開信，呼籲全球暫停開發 GPT-4 等模型 6 個月，或者義大利因隱私問題，開了第一槍宣布禁止使用 ChatGPT 等等，都讓 OpenAI 開始注意到向外界保證 AI 安全的重要性。

近日，OpenAI 在自家官方網站上分享了一篇關於他們如何確保 AI 安全的文章，內容提到，在 OpenAI 發表任何新系統之前，都會進行嚴格的測試、聘請外部專家進行回饋，並透過強化學習、人類回饋等技術不斷改進模型等。例如 GPT-4 就在完成訓練後，花了 6 個月的時間在 OpenAI 內部進行協助，確認其更為安全後才對外公開發表。

OpenAI 列出了 6 大要點，包括：建構越來越安全的 AI 系統、從實際使用中不斷學習改進保障措施、保護兒童、尊重隱私、提高事實準確性（據 OpenAI 官方說法，相較 GPT-3.5，GPT-4 針對生成事實內容增加了 40% 的準確性）、持續的研究與參與等等。

（4）美歐警方查封駭客市場 Genesis Market，逮捕 120 人

根據《華爾街日報》（WSJ），美國、歐洲刑警組織以及 14 個國家的警察聯合起來搗毀了網路犯罪網站 Genesis Market，該網站出售 8,000 萬個被盜的銀行、社群媒體、電郵帳戶，這些個資通常售價不到 1 美元，全球約有 200 萬名受害者。

在網站上出售的登入資訊包括 Facebook、Paypal、Netflix、Amazon、eBay、Uber 和 Airbnb 等等，Genesis Market 用戶可以購買這些登入資訊以及其他數位指紋（digital fingerprint），包括密碼、瀏覽器的歷史紀錄、cookie、自動填寫表格數據、IP 地址、位置等等。

Genesis Market 不只在暗網運作，而是在開放網路上，英國國家打擊犯罪局（NCA）指出，該網站是詐騙的一大推手。

據《BBC》報導，此次各國警方的聯合行動共在全球範圍內進行了 200 次搜查，逮捕了 120 人。現在連上 Genesis Market 網站，只會看到「該網站已被查封」的訊息。

（5） 小心！YouTube 詐騙郵件長得跟官方電郵地址一模一樣

最後一則新聞，又與 YouTube 有關了。YouTube 近期發出警告，有一個與官方電郵地址「一模一樣」的釣魚信件正在四處詐欺使用者。

本周稍早，內容創作者 Kevin Breeze 在 Twitter 上提醒他的粉絲們注意這項新的網路釣魚活動，在 Breeze 的貼文中可以看到郵件截圖，顯示發件人為 no-reply@youtube.com，這是 YouTube 使用的郵件地址，但這封信並非來自 YouTube。

在這封名為「YouTube 規則和政策的變化」的信件中包含了一個導向 Google Drive 的連結，並威脅用戶如果不打開連結並在 7 天內發送回覆，就會限制使用者使用 YouTube。YouTube 官方則呼籲，若收到這個郵件地址寄發的信件，不要存取或下載任何檔案。