這位曾用代碼構(gòu)建童話世界的工程師,被困在了由AI工具引發(fā)的一場噩夢里。
一個(gè)普通的夜晚,前迪士尼工程師Matthew Van Andel因好玩下載了一款用于根據(jù)文本提示創(chuàng)建圖像的免費(fèi)AI工具,卻在之后聲稱這個(gè)決定讓他的生活和事業(yè)都?xì)в谝坏?/p>
這位曾用代碼構(gòu)建童話世界的工程師,被困在了由AI工具引發(fā)的一場噩夢里。
據(jù)悉,Van Andel本以為這是代碼共享平臺(tái)GitHub上的一個(gè)有用工具,結(jié)果卻發(fā)現(xiàn)它是一個(gè)惡意軟件。在使用這款A(yù)I圖像生成器的五個(gè)月時(shí)間里,他的個(gè)人計(jì)算機(jī)被侵入,直接導(dǎo)致其個(gè)人賬戶憑據(jù)和迪士尼超1TB的公司內(nèi)部信息被公開泄露,甚至有外部攻擊者借此登入迪士尼的公司系統(tǒng)發(fā)布敏感信息,包括客戶數(shù)據(jù)、員工護(hù)照號以及收入數(shù)據(jù)。
并且,這次經(jīng)歷使Van Andel本人在經(jīng)濟(jì)和情感上遭受重創(chuàng),不僅丟了工作、損失了約20萬美元,聲譽(yù)也受到了損害。直到現(xiàn)在,Andel的個(gè)人及家人賬戶仍然在遭受威脅。近期,他正在試圖通過律師向前公司交涉以八位數(shù)和解金來彌補(bǔ)其工資損失和情緒困擾的要求。
消息傳出后,網(wǎng)上許多人都在疑惑,這種事情究竟是怎么發(fā)生的?使用公開的AI工具為何能帶來如此嚴(yán)重的后果?GitHub平臺(tái)為何沒有發(fā)現(xiàn)?牽涉其中的是哪款A(yù)I圖像生成器?為此,我們?nèi)ド钊肓私饬苏鹗录?/p>
被這款A(yù)I工具“坑害”的全過程
Van Andel的悲慘命運(yùn)在去年2月埋下種子。
當(dāng)時(shí),Van Andel坐在家里的電腦前,無意中在GitHub上發(fā)現(xiàn)了一個(gè)文生圖AI工具,非常適合他和兩個(gè)兒子一起玩創(chuàng)意游戲。GitHub受到數(shù)百萬人的信任,開發(fā)人員可以在這里共享代碼和工具,似乎是一個(gè)安全的選擇。他點(diǎn)擊下載了這個(gè)工具,卻不知道這個(gè)簡單的舉動(dòng)即將毀掉他的一生。
五個(gè)月來,這款免費(fèi)AI軟件靜靜地待在Van Andel家的電腦上,雖然文生圖效果不錯(cuò),但這款A(yù)I助手中卻包裹著惡意軟件,并像潛伏特工一樣潛入他的系統(tǒng)。直到去年7月,一條令人不寒而栗的信息通過Discord論壇平臺(tái)發(fā)送到了他的電腦上,對方稱已掌握關(guān)于他本人的大量情報(bào)——包括幾天前他跟迪士尼同事共進(jìn)午餐的細(xì)節(jié)。Van Andel的大腦開始飛速運(yùn)轉(zhuǎn),因?yàn)樗铱隙ǖ鲜磕嵋酝獾娜瞬豢赡芙佑|得到這些情況。畢竟這個(gè)通過Discord論壇給他發(fā)過消息的人,沒辦法知曉他在Slack工作頻道里聊過什么。
緊接著,對方又發(fā)來另一條消息:“我已經(jīng)掌握了跟你個(gè)人及職業(yè)生活相關(guān)的敏感信息訪問權(quán)。”到這里Van Andel終于可以肯定,自己是被黑客入侵了。黑客自稱是俄羅斯黑客活動(dòng)組織的成員,早在五個(gè)月前就已經(jīng)入侵了Van Andel的電腦。但安全研究人員認(rèn)為,這位自稱Nullbulge的黑客很可能是頭“孤狼”,而且應(yīng)該是美國人。
Van Andel馬上打給了迪士尼的“救援隊(duì)”,這是一支為快速應(yīng)對網(wǎng)絡(luò)威脅而設(shè)立的企業(yè)團(tuán)隊(duì)。他們證實(shí)Van Andel的Slack賬戶已遭入侵,但在他的辦公筆記本電腦上沒有發(fā)現(xiàn)任何可疑跡象,因此建議他檢查一下個(gè)人設(shè)備。他之前的殺毒軟件沒在個(gè)人PC上發(fā)現(xiàn)任何異常,但在安裝第二款殺毒程序之后,引發(fā)此番風(fēng)波的罪魁禍?zhǔn)琢⒖谈〕隽怂妗?/p>
在加利福尼亞州的家中,Van Andel查看了他從黑客那里收到的一封電子郵件。
在Van Andel與迪士尼響應(yīng)團(tuán)隊(duì)溝通的同時(shí),黑客還發(fā)來了一封電子郵件,明確表示他能夠登錄Van Andel的個(gè)人郵箱賬戶,還抱怨自己發(fā)出的第一封郵件被Van Andel標(biāo)記為垃圾郵件,第二封則被直接扔進(jìn)垃圾箱,并警告稱,他的入侵活動(dòng)即將開啟新的階段。“馬上回郵件,照我們說的做,否則指定沒你好果子吃。”
據(jù)Van Andel所知,黑客只有一種辦法能夠訪問到他的電子郵件,那就是操縱1Password——這是一款密碼管理工具,Van Andel用它來存儲(chǔ)密碼和其他敏感信息,包括“會(huì)話cookie”。這些數(shù)字文件持續(xù)存儲(chǔ)在他的電腦上,幫助他快速訪問包括迪士尼Slack頻道在內(nèi)的各種在線資源。他用來保護(hù)自己數(shù)字生活的密碼管理軟件。
Van Andel沒有向黑客提供更多信息,他重置了存儲(chǔ)在1Password中的數(shù)百條憑證,選擇去報(bào)警。但黑客第二天一早就兌現(xiàn)了威脅,這個(gè)動(dòng)機(jī)不明的神秘黑客組織,一口氣將4400多萬條迪士尼內(nèi)部Slack聊天消息、超過18800份電子表格和至少13000份PDF發(fā)布到了網(wǎng)上,并公布了Van Andel存儲(chǔ)在1Password中的全部登錄憑證。至于這些內(nèi)容是怎么來的……是黑客利用Van Andel的登錄憑證從雇主處瘋狂攫取而來。黑客還在網(wǎng)上聲稱,自己在迪士尼有一個(gè)“內(nèi)線”。
而處于事件漩渦中心的這款A(yù)I圖像生成器,被曝很可能是Stable Diffusion。
去年6月,據(jù)外媒報(bào)道,以厭倦了大公司通過AI濫用他人的工作為由,NULLBULGE黑客組織開始通過破壞Github上免費(fèi)共享的擴(kuò)展ComfyUI_LLMVISION來攻擊使用Stable Diffusion的流行界面ComfyUI的用戶,從而將惡意軟件嵌入到目標(biāo)用戶的電腦中。并且,他們聲稱自己的行為是打擊藝術(shù)品盜竊、加密推廣和AI生成藝術(shù)品的運(yùn)動(dòng)的一部分,并指責(zé)用戶犯下了“藝術(shù)品盜竊”罪。該組織隨后還在其網(wǎng)站上發(fā)布了一份據(jù)稱可以訪問數(shù)百名用戶賬戶的憑據(jù)列表。
至于為何GitHub平臺(tái)沒有發(fā)現(xiàn)這個(gè)工具已存在“問題”,有網(wǎng)友猜測了兩種情況:一是,Github是各種不受限制代碼的存儲(chǔ)庫,其中涉及的每一段代碼都是“合法的”,只是它的使用方式是壞的;二是可能是因?yàn)榇a的某些部分被故意混淆了,代碼中可能含有加密字符串。
這起事件的后果
此番黑客攻擊促使迪士尼網(wǎng)絡(luò)安全團(tuán)隊(duì)開始評估損失。據(jù)該黑客組織稱,其泄露出的迪士尼內(nèi)部數(shù)據(jù)超過1TB,包括他們未發(fā)布的項(xiàng)目、代碼、圖像、登錄憑據(jù)以及指向內(nèi)部網(wǎng)站和API的鏈接。迪士尼則在去年8月的一份監(jiān)管文件中提到正在調(diào)查這起事件,但預(yù)計(jì)不會(huì)對其運(yùn)營或財(cái)務(wù)業(yè)績產(chǎn)生重大影響。黑客事件發(fā)生后,迪士尼方面通知員工正考慮放棄Slack,嘗試精簡辦公協(xié)作工具。
與此同時(shí),Van Andel在這起事件發(fā)生幾周之后失業(yè)了。
在對他的工作電腦進(jìn)行取證分析之后,迪士尼將其解雇,并表示在他的設(shè)備上發(fā)現(xiàn)了訪問過色情內(nèi)容的記錄。Van Andel則堅(jiān)決否認(rèn)曾在自己的工作電腦上有過此類行為。迪士尼發(fā)言人在一份聲明中指出,“Van Andel先生聲稱他并未進(jìn)行過導(dǎo)致他被解雇的不當(dāng)行為,但公司在對發(fā)放給他的辦公設(shè)備進(jìn)行了審查,并從中發(fā)現(xiàn)了有力證據(jù)。他的健康保險(xiǎn)被終止,約20萬美元的獎(jiǎng)金也打了水漂。”Van Andel只能無力地辯解,“我是黑客攻擊的受害者呀……”
Matthew的兄弟姐妹Christa Maier和Stephen Van Andel對外表示,黑客通過嵌入在知名AI圖像生成器中的惡意軟件,在他不知情的情況下訪問了他的個(gè)人設(shè)備。“這是他最初下載的一個(gè)工具,只是為了和孩子們一起玩。但它被某種東西污染了,直到幾個(gè)月后,當(dāng)他們(黑客)挖掘數(shù)據(jù)時(shí),這一點(diǎn)才會(huì)變得明顯。”
據(jù)了解,包括電子郵件在內(nèi)的很多賬戶都受到雙因素身份驗(yàn)證的保護(hù)。也就是說,除了用戶名加密碼的組合之外,黑客還得獲取其他信息才能成功入侵。大多數(shù)人出于方便,通常會(huì)選擇短信或者手機(jī)端應(yīng)用來驗(yàn)證,而Van Andel的第二道防線則是——1Password。
在調(diào)查入侵事件的過程中,Van Andel意識到他的“數(shù)字生活好管家”1Password并沒有受到雙重身份驗(yàn)證的保護(hù)。默認(rèn)情況下只需要用戶名加密碼就能登錄,他也沒有采取額外措施來啟用雙因素身份驗(yàn)證。1Password公司發(fā)言人指出,一旦用戶的計(jì)算機(jī)上被安裝了鍵盤記錄木馬,“攻擊者就幾乎可以不受任何限制發(fā)起訪問。”
這起事件也徹底顛覆了Van Andel的生活,黑客竊取了他的信用卡號并大肆消費(fèi),滾滾賬單如雪片般飛來,甚至他的個(gè)人乃至財(cái)務(wù)賬戶登錄信息也被泄露了出去。
他開始接到媒體的電話,還有陌生人的奇怪來電和短信。Van Andel幾乎吃不下飯也睡不著覺,時(shí)常被驚恐和焦慮的情緒吞沒。攻擊者還把Van Andel的個(gè)人信息公布到了網(wǎng)上,用社保號碼就能順利登錄他家中安裝的Ring攝像頭,他的在線社交媒體賬戶被無數(shù)掌握了憑證的陌生人用于發(fā)布大量冒犯性言論。就連Van Andel孩子們的在線賬戶也受到了黑客攻擊的波及。
Van Andel一家人
作為兩個(gè)兒子的父親,42歲的Van Andel痛苦地表示,“這種被侵犯的感覺實(shí)在難以形容。”
現(xiàn)在Van Andel正努力回歸正常生活。他找了份臨時(shí)工作來支撐家庭生活,他妹妹則在GoFundMe上發(fā)起眾籌幫助他度過難關(guān)。去年12月19日,他的律師向迪士尼發(fā)出一封索賠函,要求對方就工資損失和精神折磨支付八位數(shù)的賠償金。Van Andel表示,時(shí)至今日,他仍會(huì)在網(wǎng)上看到有人嘗試用Nullbulge公布的泄露憑證入侵他的賬戶。
結(jié)語
Van Andel的經(jīng)歷對于企業(yè)和個(gè)人來說都不失為一記響亮的警鐘,讓人們意識到自己隨時(shí)可能面臨黑客攻擊的風(fēng)險(xiǎn)。
網(wǎng)絡(luò)安全專家們表示,近年來竊取憑證市場經(jīng)歷了一波大力發(fā)展,用于竊取憑證的黑客工具也如雨后春筍般涌現(xiàn)。在疫情期間,企業(yè)為了支持遠(yuǎn)程辦公而開放了員工從家中訪問業(yè)務(wù)系統(tǒng)的權(quán)限,而黑客則很快意識到家用電腦已經(jīng)成為通往企業(yè)環(huán)境的后門。黑客們開發(fā)出各種惡意工具,即信息竊取程序,并將其隱藏在人們從互聯(lián)網(wǎng)上下載的各類軟件當(dāng)中。黑客們借此竊取憑證,之后再通過網(wǎng)絡(luò)轉(zhuǎn)售。
根據(jù)谷歌負(fù)責(zé)調(diào)查網(wǎng)絡(luò)入侵的Mandiant團(tuán)隊(duì)所言,在去年以經(jīng)濟(jì)為目的的網(wǎng)絡(luò)入侵活動(dòng)中,有近40%使用到被盜憑證,相較于2022年已經(jīng)增長了一倍。
本文來源:36氪
文章轉(zhuǎn)載于其他網(wǎng)絡(luò),如有侵權(quán)請聯(lián)系我們及時(shí)刪除!
