Százmilliós jutalmak a legsikeresebb hackereknek
Összesen 73 nevezés érkezett, ám csak a legügyesebbek vittek haza jelentős díjakat. A Fuzzware.io csapata megdöntötte a pontrekordot 28 ponttal és összesen 79 millió forintnyi pénznyereménnyel, miközben hét látványos bemutatót tartottak. Az egyik legnagyobb összeget, több mint 22 millió forintot egyetlen Alpitronic HYC50 típusú EV-töltőben felfedezett, tartományon kívüli írási hibával szerezték meg. Ez jól illusztrálja, hogy a csapatok kreatív megközelítéseikkel nemcsak hozzáféréseket szereztek, hanem játékokat is tudtak telepíteni a töltők kijelzőire: az egyik csoport például a Doom játszható változatát futtatta ily módon, amiért közel 7,2 millió forintnyi pénzt kaptak. Az Alpitronic töltő többeket is megihletett: többen is veszélyesnek minősülő, nyilvánosan elérhető metódusokat használtak ki.
A Tesla is padlót fogott
Nemcsak az elektromos töltők voltak sebezhetők. A Synacktiv csapatnak sikerült teljesen átvennie az uralmat egy Tesla infotainment-rendszer felett, egy információszivárgási és egy memóriakezelési hiba kombinációjának révén. Emellett az Automotive Grade Linux rendszert is feltörték, három különböző sebezhetőség összekapcsolásával. Nem kizárt, hogy az összes érintett gyártó villámgyorsan lép majd annak érdekében, hogy a felfedezett hibákat befoltozza, hiszen ekkora nyilvánosság már komoly presztízsveszélyt jelent.
Megbüntetik az adatlopó cégeket
A francia adatvédelmi hatóságok nemrégiben egy ismeretlen vállalkozást 1,3 milliárd forintra büntettek, amiért mintegy 10,5 millió európai ügyfelének e-mail címét és telefonszámát osztotta meg egy szintén meg nem nevezett közösségimédia-hálózattal. Ez a gyakorlat mind az uniós GDPR, mind a francia adatvédelmi törvény megsértésének minősült. Érdekes, hogy a hatóság nem tartotta szükségesnek a cég nevét közölni, bár óriási volt a visszaélés volumene.
Az MI is képes bizalmas adatokat kiszivárogtatni
A Miggo biztonsági cég egy olyan sebezhetőséget tárt fel, amelynek révén a Google Gemini MI-je kiadhatta egy felhasználó teljes napi naptárját egy ügyesen megkomponált, káros eseménymeghívó segítségével. Ha valaki a Gemininél rákérdezett titokban a napirendjére, egy beszúrt utasítás arra késztethette, hogy egy új esemény leírásába felsorolja az összes titkos találkozót, amit – tipikus vállalati beállítások mellett – a támadó is láthatott. Ebből kifolyólag az MI-t új alkalmazási rétegként kell kezelni, amely sajátos biztonsági figyelmet igényel, hiszen a nyelvi feldolgozás miatt nem feltétlenül érzékeli a támadás szándékát. Szerencsére ezt a konkrét hibát a Google már javította.
Egyre biztonságosabb az MI-tesztelés
A HackerOne hibavadász platform friss iránymutatást adott ki annak érdekében, hogy az MI-kutatók biztonsággal tesztelhessék a modelleket, anélkül, hogy jogi csapdába esnének. A kezdeményezést követő szervezetek vállalják, hogy a jóhiszemű MI-kutatók vizsgálatait jogosnak tekintik, és nem indítanak ellenük pert, feltéve, hogy a kutatók betartják az etikus tesztelés alapvető elveit.
Még a kiberbűnözők is pórul járnak
Nem kizárt, hogy még a hackerek is áldozatul esnek saját fegyverüknek: Jeremiah Fowler kibervédelmi szakértő 149 millió egyedi felhasználónév–jelszó kombinációt talált egy nyilvánosan elérhető, 96 GB-os adatbázisban. Az adathalmazban közösségimédia-, randiapp- és banki bejelentkezések, sőt állami hozzáférések is feltűntek. A jelszavakat egyedi kémprogramok és billentyűnaplózók gyűjtötték össze, majd a neten felejtették, órákig mindenki számára elérhetően. Ez a kiszivárgás jól mutatja, hogy az adatbiztonság mindenkit érint, és a jelszócsere továbbra sem elhanyagolható – még a rosszfiúknak sem megy mindig simán.
