Американский бомж обнаружил утечку персональных данных

Как стало известно специалистам компании «Практика безопасности», в США – в городе Нэшвиль (штат Теннеси) – произошла утечка персональных данных на бумажных носителях. Большое количество конфиденциальных документов в мусорке нашел местный бездомный.



По приблизительным оценкам, в результате инцидента скомпрометированы персональные данные нескольких тысяч человек – бывших сотрудников и пациентов компании Nursing Visioned Medical Services (NVMS). NVMS работала в области нейрофизиологии, однако на протяжении нескольких лет испытывала затруднения с финансированием и завершила процедуру банкротства в начале 2009 г. После банкротства активы NVMS приобрела корпорация Impulse Monitoring. В ее штат и вошло большинство работников NVMS.

Как отмечается, именно Impulse Monitoring сейчас занимается уведомлением пострадавших сотрудников. Однако главный юрисконсульт компании сообщил, что вся ответственность за инцидент лежит на NVMS. В полемику с ним вступил бывший владелец NVMS Шон МакКрэкен (Sean McCracken). По его словам, большая часть старых документов была уничтожена в шредерах. А все актуальные бумаги переданы Impulse Monitoring.

«Кто прав, а кто виноват в этой истории, сказать трудно, – рассуждает Тарас Пономарёв, партнер консалтингового бюро «Практика Безопасности». – Следует отметить упущения в правилах работы с документами. Очевидно, при выводе конфиденциальных документов из обращения необходимо не только удалять их, но и разработать методы верификации удаления. Тогда подобные неопределенные ситуации не будут возникать».

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Забытые в коде ключи доступа к OpenAI API позволяют спиратить GPT-4

Разработчики, встраивающие технологии OpenAI в свои приложения, зачастую оставляют API-ключи в коде. Злоумышленники этим пользуются: собирают такие секреты из общедоступных проектов и расшаривают их в соцсетях и чатах, провоцируя пиратство.

Оказалось, что только на GitHub можно с легкостью заполучить более 50 тыс. ключей к OpenAI API, неумышленно слитых в паблик. Украденные данные позволяют использовать ассоциированный аккаунт OpenAI для бесплатного доступа к мощным ИИ-системам вроде GPT-4.

Недавно модераторы Discord-канала r/ChatGPT забанили скрипт-кидди с ником Discodtehe, который упорно рекламировал свою коллекцию ключей OpenAI API, собранных на платформе для совместной работы Replit. Такие же объявления доброхот с марта публиковал в канале r/ChimeraGPT, суля бесплатный доступ к GPT-4 и GPT-3.5-turbo.

Как выяснилось, скрейпинг API-ключей OpenAI на Replit тоже не составляет большого труда. Нужно лишь создать аккаунт на сайте и воспользоваться функцией поиска.

В комментарии для Motherboard представитель OpenAI заявил, что они регулярно сканируют большие публичные репозитории и отзывают найденные ключи к API. Пользователям рекомендуется не раскрывать сгенерированный токен и не хранить его в клиентском коде (браузерах, других приложениях). Полезно также периодически обновлять API-ключ, а в случае компрометации его следует немедленно сменить.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru