嗨,這裡是《TO》本週資安事件一樣告訴你本週數個與資訊安全有關的新聞事件。
(1)佛系駭客是你?這學生利用 API 漏洞,讓大家都能免費使用 GPT-4
一位開發人員利用一個 API 漏洞,向大眾提供「免費」使用 GPT-4,在 Reddit 上一炮而紅。
這位開發人員通過分析 OpenAI 的 GPT-4 API,發現了一個漏洞,該漏洞允許他繞過一些授權機制並免費使用 GPT-4。隨後這位開發人員開發了一個名為 GPT4Free 的項目,並在 Reddit 上發布,開始向大眾提供可以免費、無限制使用的 GPT-4。
根據 TechCrunch 報導,這位開發者是位電腦科學專業的學生,Reddit 用戶名為 xtekky。「逆向工程一直是我非常喜歡的一個領域——這對我來說就像是一個挑戰。」xtekky 說。
(不過 GPT4Free 應該隨時都有被移除的風險!)
(2)LiTV 遭駭,影集全遭刪險倒閉,前工程師供稱:因「取消訂閱後還一直收到廣告」挾怨破壞
再來將鏡頭轉回台灣。
串流影視業者 LiTV 在今年農曆年期間遭駭客入侵雲端伺服器,刪除 LiTV 為數眾多的影音節目、影片、電影等播放檔案。LiTV 高層評估,若無及時修復,「LiTV 恐面臨直接倒閉的命運」,儘管該公司緊急召回過半員工加班搶修,仍造成營運成本損失高達 3000 多萬元新台幣。
日前,警方已逮到一名 49 歲陳姓工程師,他供稱,是因為取消訂閱 LiTV 後還一直收到廣告,「覺得不堪其擾,因此想給他們一個教訓」。
(3)Google:我們會為 Authenticator 導入端到端加密的(欸?原本居然沒有!)
近日,安全研究人員呼籲使用者,千萬不要啟用 Google Authenticator 近期新增的雲端同步功能,原因是該功能並未採用端到端加密(end-to-end encryption,E2EE),研究人員因此大聲呼籲所有用戶先不要啟用雲端同步功能。
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
TL;DR: Don't turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
一名推特名為 Mysk 的安全人員近期發推,他在分析 Google Authenticator 同步時的網路流量時,意外發現這過程並沒有進行端到端加密,這不但代表 Google 可以看到用戶的私人資訊,甚至可能存在伺服器上。若駭客入侵某使用者的 Google 帳戶,可能能因此獲得其他大量帳號的存取權限,「你的所有 2FA 機密都將被洩露。」
Mysk 還指出,雙重驗證的 QRCode 還包含其他資訊,例如帳號名稱、登入的服務是什麼(Amazon、Twitter 等)Mysk 認為,這讓 Google 有辦法知道你使用哪些服務,並藉此向使用者投放廣告。Mysk 呼籲,在 Google Authenticator 支援 E2EE 前,千萬不要使用同步功能。
Google 對此反駁,Google Authenticator 的雲端同步新功能可以保護 Google 用戶,也兼具實用和方便的功能,而 E2EE 是一項提供額外保護的強大功能,但如果使用者忘記或遺失了自己的 Google 帳號密碼,Google 有可能無法恢復資料。
(1/4) We’re always focused on the safety and security of @Google users, and the newest updates to Google Authenticator was no exception. Our goal is to offer features that protect users, BUT are useful and convenient.
— Christiaan Brand (@christiaanbrand) April 26, 2023
Google 並強調,包括 Google Authenticator 在內的產品,在資料傳輸或靜態儲存上都有加密,並已計畫為 Google Authenticator 導入端到端加密,只是目前尚未提供具體時程表。
(4)惡意軟體 CryptBot 太猖狂!Google 直搗黃龍,破壞基礎設施
最後一起事件,主角同樣是 Google。
Google 最近成功破壞了惡名昭彰的惡意軟體 CryptBot 相關的基礎設施,該軟體僅在過去一年就竊取了 67 萬台電腦,竊取這些 Chrome 瀏覽器使用者的數據。
CryptBot 在 2019 年被首次發現,並通常潛藏在宣稱可以免費下載合法軟體的詐騙網站中,在使用者安裝後,CryptBot 會從受感染的設備中竊取使用者的機敏資訊,例如密碼、Cookie、加密貨幣錢包、信用卡資訊等等。
隨著 Google 獲得臨時法院命令,Google 已經破壞了 CryptBot 相關基礎設施,防止開發商持續傳播惡意軟體,「這將減少新感染的發生,並減緩 CryptBot 的增長。」
Google 也提出 3 點建議,以免使用者下載到有危害的軟體:
- 從知名和可信賴的來源下載:僅從官方網站或應用商店下載軟體,並認真看待 Chrome 安全瀏覽警告。
- 閱讀評論並進行研究:在下載任何軟體之前,對產品進行研究,並閱讀已經下載並使用過該軟體的其他人的評論。
- 確保你的作業系統和軟體是最新版本:確保定期將設備的作業系統和軟體更新到最新版本。更新通常包括有助於抵禦威脅的安全補丁和錯誤修復。
參考資料:TechCrunch、ETtoday新聞雲、9TO5Google、THE VERGE、Google,首圖來源:Shutterstock。
