📰 本频道不定期推送科技数码类新资讯,欢迎关注!
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
英国零售集团合作社集团(Co-op)的首席执行官周三表示,在 4 月的一次网络攻击中,黑客窃取了该公司所有客户的个人数据。
合作社集团首席执行官希琳·库里 - 哈克(Shirine Khoury-Haq)告诉英国广播公司新闻(BBC News),黑客复制了该公司 650 万会员的名单,但合作社集团在黑客能用勒索软件锁定其系统之前关闭了网络。
会员数据包括姓名、地址和联系信息。
4 月合作社集团的此次数据泄露事件,是针对英国零售业的大规模黑客攻击行动的一部分。在这一系列攻击中,玛莎百货也有数量不明的客户数据被盗,哈罗德百货则遭遇了未遂网络攻击。
这些网络攻击被归咎于 “分散蜘蛛”(Scattered Spider)—— 这是一个主要由年轻黑客组成的团体,他们利用欺骗手段,诱使公司的 IT 服务台授予他们访问网络的权限。
7 月初,英国当局逮捕了 4 名据称与这些零售网络攻击有关联的人员,其中包括一名 20 岁的女性、两名 19 岁的男性和一名 17 岁的青少年。这四人被指控犯有黑客攻击、敲诈勒索以及作为有组织犯罪集团成员参与犯罪等罪名。
据报道,自这些网络攻击以来,黑客已将目标转向航空和运输业以及保险公司 —— 这些行业存储着大量消费者的数据。
目前尚不清楚合作社集团的数据泄露事件将造成多少损失。据一家零售业新闻媒体报道,黑客攻击发生时,合作社集团没有购买网络安全保险,这可能导致该公司承担沉重的财务成本。
据文汇网、《星岛日报》等港媒7月15日报道,香港大学一名法律系男学生涉嫌利用AI(人工智能)软件,将多名女性的照片生成超过700张色情图片,事件引发社会广泛关注。
香港特别行政区行政长官李家超15日出席行政会议前会见记者时表示,大学除了传授学术知识外,更肩负着培养学生品德的责任。任何伤害他人的行为,除了可能涉及刑事罪行外,也可能侵犯他人的私隐和个人利益,“大学有责任严肃处理学生的行为问题”。
据香港东网此前报道,香港大学法律系男生疑以网上免费AI软件,将多名女性的照片“移花接木”生成逾700张色情照片,受害者多达20至30人,包括其中学师姐、大学同学等。
这引发了隐私问题,还有一名员工因此辞职了。
根据《Business Insider》看到的一份文件,这家 AI 初创公司本月早些时候告诉负责训练其 Grok 聊天机器人的导师,他们需要下载一个叫 Hubstaff 的员工管理系统。
根据这份文件和知情人士的说法,那些没有公司设备的导师被要求在 7 月 11 日前在自己的电脑上下载该软件。他们被告知需要开启屏幕截图功能,并且使用该软件是强制性的。
在《Business Insider》向 xAI 询问有关 Hubstaff 的问题后,xAI 表示对 Slack 上的政策进行了调整:现在,那些申请公司电脑的员工可以等到收到公司发放的笔记本电脑后再下载相关软件。
根据文件显示,Hubstaff 将被用来评估员工绩效,并收集导师进行研究的相关数据。
据 Business Insider 查看的 Slack 消息显示,一些员工对这款软件的隐私问题表达了担忧。有一个员工在 Slack 消息中提到,由于公司推出 Hubstaff,他们会选择辞职,这条消息获得了几十个支持的回应。
在消息中,这名员工写道,这简直就是“以生产力为幌子的监控”和“打着文化旗号的操控”。
根据文件显示,对个人电脑数据隐私有顾虑的员工,他们被告知可以使用 xAI 每月 50 美元的技术津贴购买新电脑,或者在现有设备上创建一个单独的登录和配置文件,以便将工作与个人休闲浏览分开。
文件中说,这款软件要求员工打卡上下班,但不会在非工作时间跟踪笔记本电脑上的活动。
其他的AI公司也在使用 Hubstaff。在对 Scale AI 发起的一起员工诉讼中,前员工指控公司对工人分类不当。有一名前雇员表示,公司使用 Hubstaff 来监控数据标注员,并要求他们在自己的个人电脑上安装这个软件。
各位,请务必阅读服务条款。
多年来,Meta 一直使用用户上传到 Facebook 和 Instagram 的数十亿张公开照片来训练它的AI。现在,Meta 还希望获取那些用户没有上传到这些平台的照片.
Meta 告诉 The Verge,他们目前还没有用这些照片来训练 AI 模型,但当被问到将来是否会用这些照片、以及他们对你手机相册里的照片拥有哪些权利时,Meta 没有给出明确答复。
上周五,TechCrunch 报道,有 Facebook 用户在尝试用“动态”功能发帖时,遇到弹窗提示,询问他们是否愿意开启“云处理”功能。开启后,Facebook 就能定期从你手机相册中选取图片并上传到他们的云端,以生成类似拼贴、回顾、AI 变换,或者生日、毕业等主题内容的创意想法。
启用了这个功能,就意味着用户同意了 Meta AI 的相关条款。Meta 可以分析这些尚未发布的照片中的“媒体内容和面部特征”,还包括照片拍摄的日期、照片里是否有其他人或物体等信息。你还进一步授权 Meta“保留和使用”这些个人信息。
Meta 对外声明说,这项功能现在还处于非常早期的阶段,没有什么特别的,也完全是自愿选择的。
Meta 通讯经理 Maria Cubeta 表示:“我们正在探索怎么让 Facebook 用户更方便地分享内容,所以正在测试从用户相册里挑选一些现成或精心整理的内容,作为分享建议。
这种建议完全自愿参与,只会你自己看到,除非你选择分享出去,而且你随时可以关闭这个功能。相册里的内容只会用来优化这些分享建议,不会用来训练 AI 模型。
一周前,一项调查发现,Meta平台上有数百款AI脱衣应用。
Meta 正在起诉一家公司,该公司在其社交媒体平台上宣传生成式 AI 应用程序,使用户能够在未经他们同意的情况下“裸体”他人。
上周,哥伦比亚广播公司新闻频道(CBS News)的一项调查发现,在Meta的Facebook、Messenger、Instagram和Threads平台上,出现了数百个数字脱衣应用广告。
“这项法律行动既强调了我们对待这种滥用行为的严肃性,也强调了我们尽一切努力保护我们的社区免受其侵害的承诺,”Meta 说。“我们将继续采取必要措施——可能包括法律行动——打击那些像这样滥用我们平台的人。”
Meta的诉讼旨在阻止总部位于香港的Joy Timeline在其社交媒体平台上列出其为CrushAI裸体应用提供的广告。此前,该公司“多次试图绕过Meta的广告审查程序”。
LexisNexis 表示,一个“未经授权的第三方”在 12 月访问了其记录。
数据分析公司 LexisNexis Risk Solutions 表示,正如 TechCrunch 早些时候报道的那样,它遭受了一次泄露事件,可能暴露了超过 364,000 人的姓名、社会安全号码、联系信息和驾驶执照号码。
在向缅因州提交的一份通知中,LexisNexis 表示,“未经授权的第三方”通过第三方软件开发平台访问了其数据。
泄露发生在 12 月 25 日,但 Lexis Nexis 直到 2025 年 4 月 1 日才发现,并且才刚刚开始通知人们。该公司表示,一旦发现违规行为,它“立即展开了调查”并“通知了执法部门”,并补充说所暴露的信息类型“因受影响的个人而异”。
LexisNexis 发言人詹妮弗·里奇曼 (Jennifer Richman) 告诉 TechCrunch,攻击者通过该公司的 GitHub 帐户获取了这些数据。
LexisNexis 和 GitHub 都没有立即回应置评请求。
WhatsApp 用户对无法移除新的 Meta AI 聊天机器人功能感到沮丧,他们担心公司可能会利用他们的私人聊天来训练机器人。
Meta 表示 AI 聊天机器人无法读取消息,除非聊天参与者之一选择分享,但补充说公司正在“听取用户的反馈”……
一些用户在聊天界面上看到了新的 Meta AI 图标,而有些人在搜索栏里看到了“问 Meta AI 或搜索”提示。目前都无法删除。
许多用户对这种被认为是不受欢迎的入侵感到沮丧,《卫报》专栏作家 Polly Hudson 也表示反对。她将其比作苹果曾经把 U2 专辑添加到用户设备上,惹恼了所有人。
高级聊天隐私还可以防止手机自动下载聊天中的照片和视频。
WhatsApp 正在推出一个新的“高级聊天隐私”功能,旨在防止人们将对话内容带出应用程序。
当开启这个设置时,你可以阻止他人导出你的聊天记录,阻止应用程序自动下载发送的照片和视频。
这个功能还将阻止人们在聊天中使用 Meta AI 的消息——使用Meta AI可以在聊天中提问和生成图像。
默认情况下,WhatsApp 会将聊天中的照片和视频保存到你手机的本地存储中。
它还允许你和你的聊天对象将聊天内容(包括或不包括媒体)导出到短信、电子邮件或记事本应用。
开启高级聊天隐私设置将在群聊和个人聊天中阻止此类行为。
苹果的新 AI 训练方法涉及将合成数据与真实样本进行比较。
苹果表示,它已经找到一种方法,可以在不对用户数据进行训练甚至不从他们的 iPhone 和 Mac 上复制数据的情况下改进其 AI 模型。
据《彭博社》报道,该公司概述了其计划,即允许设备将合成数据集与选择加入其设备分析计划的用户最近的电子邮件或消息样本进行比较。
苹果设备将能够确定哪些合成输入最接近真实样本,然后通过发送“仅表示哪个变体最接近样本数据的信号”将这些信息传递给公司。这样一来,据苹果称,它不会访问用户数据,数据也不会离开设备。然后苹果会使用最常被选择的假样本来改进其 AI 文本输出,例如电子邮件摘要。
根据彭博社的马克·古尔曼(Mark Gurman)的报道,目前苹果仅在合成数据上训练其 AI 模型,这可能导致响应效率低下。苹果在推出其旗舰的 Apple Intelligence 功能时遇到困难,推迟了一些功能的发布,并更换了其 Siri 团队的负责人。
但现在,根据古尔曼的说法,苹果正试图扭转局面,在 iOS 和 iPadOS 18.5 以及 macOS 15.5 的 beta 版本中引入其新的 AI 训练系统。
自 2016 年推出 iOS 10 以来,苹果一直在宣传其使用一种称为差分隐私的方法来保持用户数据的私密性。苹果表示,将随机化信息引入更广泛的数据集将有助于防止将数据与任何个人联系起来。
该公司表示将通知用户并给予他们选择退出的机会。
Meta 宣布它正在准备利用其应用程序的欧盟用户数据来训练 AI,包括 Facebook 和 Instagram。公司表示,这包括像公开帖子、评论和他们与 Meta AI 的聊天记录,但不包括“与朋友和家人的私人消息。” 公司称,这也仅适用于年满 18 岁的人。
根据 Meta 的说法,本周将通过应用内通知和电子邮件开始通知其欧盟用户关于训练一事,并将包括一个反对表格的链接,供那些希望退出的人使用。
你应该可以在其隐私政策中找到这样的链接,该政策在撰写本文时表示,根据监管反馈,公司仍在推迟其将欧盟用户数据用于 AI 模型训练的计划。去年在爱尔兰监管机构的要求下,Meta 暂停了其在欧洲的 AI 训练计划。
Meta 声称,它正在利用欧盟用户数据训练 AI,以帮助其创建反映其使用地区特点的模型,包括“从方言和口语到超本地知识以及不同国家使用幽默和讽刺的独特方式。”公司补充说,这对多模态 AI 生成的文本、语音、视频和图像尤为重要。
DuckDuckGo 计划在其搜索引擎中整合人工智能。这家注重隐私的公司刚刚宣布,其AI生成的答案(在搜索引擎中针对某些查询出现)已经退出测试阶段。
现在的信息来源不仅仅是维基百科,而是来自整个网络。它很快会在其也已经退出测试阶段的 AI 聊天机器人中整合网络搜索。
DuckDuckGo 在 2023 年首次推出 AI 辅助回答,最初被称为 DuckAssist。这个功能被标榜为一个不那么烦人的工具,就像 Google 的 AI 概述,旨在提供更简洁的回复,并允许你调整其出现频率,包括完全关闭它们。但即使你将DuckDuckGo 的 AI 生成答案设置为“经常”,你仍然只有约 20%的机会能看到它们,不过公司计划最终会增加出现频率。
DuckDuckGo 的一些 AI 辅助答案会弹出一个框,供你进行后续提问,并把你引导到与其 Duck.ai 聊天机器人的对话中。与其 AI 辅助答案一样,使用 Duck.ai 不需要账户,并且同样强调隐私。
它可以让你可以在 GPT-4o mini、o3-mini、Llama 3.3、Mistral Small 3 和 Claude 3 Haiku 之间切换,优点是在隐藏你的 IP 地址的情况下,你可以匿名与每个模型互动。
Duck.ai 还推出了一项名为 Recent Chats 的功能,该功能将在您的设备上本地存储之前的对话,而不是在 DuckDuckGo 的服务器上。虽然 Duck.ai 也即将结束测试阶段,但这并不意味着会停止推出新功能。
在接下来的几周里,
Duck.ai 会增加对网络搜索的支持,这应该能增强其回答问题的能力。该公司还在努力为 iPhone 和 Android 添加语音互动功能,以及上传图片并就其提问的能力。Weinberg 说虽然 Duck.ai 会始终保持免费,但公司正在考虑将更高级的 AI 模型访问权限包含在每月 9.99 美元的订阅中。
然而,DuckDuckGo 不打算像 OpenAI、Google、Microsoft,甚至可能包括 Meta 那样,为其 AI 聊天机器人创建一个单独的应用程序。“我们认为最终状态其实是一个应用程序把所有这些东西结合在一起,”CEO 温伯格说。
在 iOS 设置中,一个“增强视觉搜索”的开关可以让你在照片应用中搜索地标,但这需要与苹果共享数据才能实现。
苹果有时会做出一些让其以隐私为导向的强大声誉受损的选择,比如它曾经秘密收集用户的 Siri 互动。昨天,开发者 Jeff Johnson 的一篇博客文章强调了这样的一个选择:Apple Photos 应用中的一个“增强视觉搜索(Enhanced Visual Search)”开关,默认是开启状态,这意味着你的设备被允许与苹果分享来自你照片的数据。
果然,今天早上我查看我的 iPhone 15 Pro 时,开关已经被打开了。你也可以通过进入设置 > 照片(或在 Mac 上为系统设置 > 照片)找到它。
增强的视觉搜索可以让你查找你拍摄的地标,也可以使用那些地标的名称来搜索这些图像。
在照片应用中,看看它能带来什么效果,你可以向上滑动你拍摄的建筑物照片,选择“查询地标”,然后会出现一个卡片,理想情况下会帮你识别出来。
封面(图1)是在手机上查看的几个例子
从表面上看,这是一项对苹果在 iOS 15 中推出的“视觉搜索”(Visual Look Up)功能的便利扩展,该功能可以让你识别植物,或者了解洗衣标签上的符号含义。然而,与“视觉搜索”(Visual Look Up)不同,“增强视觉搜索(Enhanced Visual Search)”需要特别的权限才能与苹果共享数据。
在切换开关下方的描述中写着:“你正在给予苹果公司“将你照片中的地点与苹果公司维护的全球索引进行私下匹配”的许可。”
至于如何做到这一点,在苹果公司的机器学习研究博文里有关于增强视觉搜索的详细信息:
这个过程从设备上的机器学习模型开始,它会分析给定的照片,以确定是否有可能包含地标的“兴趣区域”(ROI)。如果模型在“地标”领域检测到兴趣区域,就会计算该图像区域的向量嵌入。
根据研究博文所述,这个向量嵌入会被加密并发送给苹果,以便与其数据库进行比较。该公司在一篇研究论文中对向量嵌入进行了非常技术性的解释,但 IBM 用更简单的话说,嵌入将“一个数据点,比如一个词、句子或图像,转化为一个 n 维数值数组,代表该数据点的特征”。
看起来公司确实花了大力气来保护数据隐私,其中一部分是通过将图像数据压缩成一种机器学习模型可以读取的格式来实现的。
即便如此,把这个切换选项设置为用户自主选择,而不是让用户自己去发现——就像那些分享分析数据、录音或 Siri 互动的选项一样——似乎会是一个更好的选择。
12月5日消息,据报道,库克多次强调苹果数据在中国是安全的,苹果在美国、英国、阿联酋等国和中国使用相同的加密技术。例如,iMessage信息等都是端到端加密,苹果无法查看、记录或存储用户发送的具体内容,数据的加密处理在全球保持一致。
库克进一步指出,苹果始终遵循中国相关法律法规,通过与中国本土企业的紧密合作,如提供iCloud服务等,在合法合规的基础上,既保障了数据安全,又高度重视用户隐私权的保护。
此外,有最新消息透露,苹果正与百度携手,计划在明年引入百度的文心大模型4.0,为iPhone、Mac及iPad等系列产品提供生成式人工智能服务。
然而,在这一合作进程中,双方就如何运用iPhone用户数据以训练和优化模型产生了意见分歧。百度方面表达了希望保存并分析从iPhone用户AI相关查询中收集的数据的意愿,但这一做法与苹果严格的隐私政策相悖,苹果明确禁止收集此类数据。
消息称,美团用户的信用卡信息遭泄漏
部分绑定了国外银行发行的卡片的用户遭遇盗刷,如果你也绑定了外卡请及时解除绑定。
手机支付/银行快速绑卡/银联 似乎暂未受到影响
🗒 标签: #隐私 #数据泄漏
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
部分绑定了国外银行发行的卡片的用户遭遇盗刷,如果你也绑定了外卡请及时解除绑定。
手机支付/银行快速绑卡/银联 似乎暂未受到影响
在 Telegram 创始人被指控允许Telegram应用程序为犯罪提供便利几周后,印度最大的健康保险公司 Star Health 的被盗客户数据(包括来自印度最大的健康保险公司 Star Health 的医疗报告)可以通过 Telegram 上的聊天机器人公开访问。
据称是聊天机器人创建者的人告诉一位安全研究人员,该研究人员提醒路透社注意这个问题,数百万人的私人详细信息被出售,可以通过要求聊天机器人泄露来查看样本。
在 Star Health and Allied Insurance 给路透社的一份声明中表示,它已向地方当局报告了涉嫌未经授权的数据访问。它表示,初步评估显示“没有广泛的泄露”,并且“敏感的客户数据仍然是安全的”。
使用聊天机器人,路透社能够下载保单和索赔文件,其中包含姓名、电话号码、地址、税务详情、身份证副本、测试结果和医疗诊断。
在测试机器人时,路透社下载了 1,500 多个文件,其中一些文件的最新日期为 2024 年 7 月。
“如果这个机器人被关闭,请留意,几个小时内就会有另一个机器人可用,”欢迎信息中写道。
这些聊天机器人后来被标记为“骗局”,并警告用户已将其举报为可疑机器人。路透社于 9 月 16 日与 Telegram 分享了聊天机器人的细节,在 24 小时内,发言人雷米·沃恩 (Remi Vaughn) 表示,它们已被“删除”,并要求在出现更多聊天机器人时通知。
“明确禁止在 Telegram 上分享私人信息,一旦发现就会被删除。版主结合使用主动监控、AI 工具和用户报告,每天删除数百万条有害内容。
此后,又出现了新的聊天机器人,继续提供 Star Health 数据。
Star Health 表示,一名身份不明的人于 8 月 13 日联系了该公司,声称可以访问其部分数据。该保险公司已向其家乡泰米尔纳德邦的网络犯罪部门和联邦网络安全机构 CERT-In 报告了此事。
“未经授权获取和传播客户数据是非法的,我们正在积极与执法部门合作解决这种犯罪活动。Star Health 向其客户和合作伙伴保证,他们的隐私对我们来说至关重要,“它在声明中说。
除非你身处欧盟,否则无法选择退出将 Facebook 或 Instagram 帖子设置为公开的 AI 训练选项。
Meta 已经承认,自 2007 年以来,所有在 Facebook 和 Instagram 上公开发布的文本和照片都被用于其人工智能模型中。澳大利亚广播公司新闻报道,Meta 的全球隐私总监梅琳达·克莱博在当地政府关于人工智能应用的调查中,最初拒绝了关于 2007 年用户数据被用于 AI 训练的说法,但在进一步质询后最终松口。
“事实上,除非你自 2007 年以来有意识地将那些帖子设置为私密,否则 Meta 公司已经决定,从 2007 年起,你在 Instagram 或 Facebook 上的每个公开帖子中的所有照片和文字都会被抓取,除非你有意识地将其设置为私密。”绿党参议员大卫·舒布里奇在调查中强调。“这就是现实,不是吗?”
“没错,”克莱博答道。
Meta 的隐私中心和博客文章承认他们会收集来自 Facebook 和 Instagram 的公共帖子和评论,以训练生成式人工智能:
我们使用 Facebook 和 Instagram 上的公开帖子和评论来训练生成式人工智能模型,以支持这些功能和开源社区。
我们不会出于这些目的使用除了公开以外的帖子或评论。
但是该公司对数据的使用、何时开始抓取以及数据收集的时间范围一直含糊不清。在六月被《纽约时报》问及时,Meta 并没有具体回答,只确认设置帖子为“公开”以外的任何选项将阻止未来的抓取。这仍然无法删除已被收集的数据——而且在 2007 年发帖的人(当时可能还是未成年人)根本不知道他们的照片和帖子会以这种方式被使用。
克莱博说,Meta 不会从 18 岁以下的用户那里采集数据。
欧洲用户可以选择退出 由于当地隐私法规,而 Meta 最近被 禁止使用巴西个人数据 来进行 AI 训练,但其他地区数以亿计的 Facebook 和 Instagram 用户如果想保持他们的帖子公开,就无法选择退出。Claybaugh 无法说明澳大利亚用户(或其他任何人)未来是否会被给予选择退出的机会,认为之所以给予欧洲用户这个选择,是因为 对其监管环境的不确定性。
“Meta 今天明确表示,如果澳大利亚有这些相同的法律,澳大利亚人的数据也会得到保护,”Shoebridge 对 ABC 新闻说。“政府在隐私问题上的无作为意味着像 Meta 这样的公司仍然在通过 Facebook 获利并利用儿童的照片和视频。”
Meta 已同意向德州支付 14 亿美元,以解决该州的诉讼,该诉讼指控 Facebook 母公司非法使用面部识别技术,在未经同意的情况下收集数百万德州人的生物识别数据。
根据追踪诉讼的律师事务所表示,这起在 2022 年提起的诉讼,是根据得克萨斯州 2009 年生物识别隐私法提起的首个重大案件。该法律的条款规定,每次违规可赔偿高达 25,000 美元的损失。
德州指控 Facebook 通过用户上传到社交媒体平台的照片和视频,利用一个名为“标签建议”的免费、已停用功能“数十亿次”捕获生物识别信息。
像 Ticketmaster 一样,AT&T 的数据显示被第三方云服务商偷走了。这些数据包括 2022 年六个月的通话记录。
AT&T 周五早上透露,一次网络攻击暴露了“几乎所有”用户的通话记录和短信,这些用户包括使用 AT&T 网络的虚拟运营商(如 Cricket、Boost Mobile 和 Consumer Cellular)的客户。这次泄露涉及 2022 年 5 月 1 日至 2022 年 10 月 31 日期间的数据,以及 2023 年 1 月 2 日“极少数”客户的记录。
AT&T 发言人 Alex Byers 向《The Verge》确认,威胁行为者通过公司在第三方云平台 Snowflake 的账户获取了信息,这类似于之前影响到 Ticketmaster 和桑坦德银行的数据泄露事件。AT&T 在四月份首次发现这一安全漏洞,但据 TechCrunch 报道,一位 FBI 发言人证实,“AT&T、FBI 和司法部曾两次同意推迟通知公众和客户,理由是‘可能对国家安全和/或公共安全构成风险’。”
被盗的数据包括客户互动的电话号码,Byers 告诉 The Verge,此次泄露还包括“那些通话/短信的次数以及特定天或月的通话总时长。”
在本文发布后,OpenAI 发布了一个新版的 ChatGPT 应用程序,用于加密存储在 Mac 上的聊天记录。请确保你将 ChatGPT 应用程序更新到最新版本。
开发者 Pedro Vieito 在 Threads 上的一篇帖子中指出,官方的 Mac 版 ChatGPT 应用没有使用标准的 macOS 沙盒系统。通过查看应用存储的偏好设置和缓存文件,Vieito 发现应用中记录的所有对话都以明文保存,这使得任何人都可以轻松访问这些数据。
对于不熟悉的人来说,“沙盒”是一种安全控制系统,它基本上是在一个独立的环境中运行一个应用程序及其所有数据。这样,应用程序在未经许可的情况下不能访问系统的其他部分,就像其他应用程序不能轻易读取沙盒应用的数据一样。
虽然在沙盒中运行应用程序能让一切更加安全,但这个系统在 macOS 上是可一个可选项,因为一些更复杂的应用程序需要完全磁盘访问权限。而且有很多 macOS 应用程序并没有在沙盒中运行。不过,当涉及到处理敏感数据的聊天应用程序时,大多数都是在沙盒中的。
任何人都可以通过进入“Library > Application Support > com.openai.chat”找到 ChatGPT 应用程序中的对话。由于这些对话存储在沙盒外且是纯文本格式,这也意味着其他应用程序、进程,甚至是在 Mac 上运行的恶意软件都可以访问这些对话——而用户对此毫不知情。
9to5Mac 确认 ChatGPT 的对话是以纯文本形式存储的。我们还开发了一款工具,只需点击一下,就能从 ChatGPT 应用中收集数据,而且不需要任何许可。
当然,OpenAI 的隐私政策明确说明,您与 ChatGPT 的所有对话都可能被公司收集,用于改进其语言模型。这已经是一个不该与 ChatGPT 分享敏感数据的充分理由了。但让这些数据可能最终落入他人之手,更让人觉得糟糕。
如果有一种公司你绝对不希望看到它被黑客攻击,那就是拥有驾照等照片身份证件的身份验证服务公司——但是这似乎正是 AU10TIX 所发生的事情。
这家网络安全公司的过去或现在的客户包括 PayPal、Coinbase、X、TikTok、Uber、LinkedIn、Upwork 和 Fiverr..
据 404 Media 报道,AU10TIX 不小心泄露了其管理员凭证,这让黑客能够访问大量的个人数据。
根据 404 Media 获取的截图和数据,AU10TIX 在网上暴露了一组管理凭证长达一年多,这可能让黑客有机会访问那些敏感数据
这些凭证允许访问一个记录平台,而该平台包含了与上传身份证件的特定人员相关的数据链接,Hussein 展示道。可访问的信息包括这些人的姓名、出生日期、国籍、身份证号,以及上传的文件类型,比如驾照。接着的一个链接则包含了身份证件的图片,其中有些是美国驾照。
这些被泄露的凭证似乎属于公司的一位网络管理员。
404 Media 下载了这些凭证,发现这个名字与在 LinkedIn 上列出的 AU10TIX 网络运营中心经理的名字一致。文件中包含大量员工使用的密码和各种服务的认证令牌,包括 Salesforce 和 Okta 的工具,以及日志服务本身。
尽管已经接到问题警告,但公司还是没有立即封锁访问权限。
404 Media 首次联系 AU10TIX 进行评论是在 6 月 13 日。大约一周后,AU10TIX 表示:“你们提到的事件发生在 18 个月前。经过彻底调查,确定员工凭证当时被非法访问,并已立即撤销。”然而,Hussein 表示,该登录平台的凭证在本月仍然有效。当 404 Media 将此信息反馈给 AU10TIX 时,该公司表示将在凭证首次在 Telegram 上曝光一年多后停用相关系统。
公司声称没有个人数据被获取,但考虑到这些凭证是在大多数黑客使用的 Telegram 频道中共享的,并且已经使用了一年多,这说法似乎有些可疑。
