這位曾用代碼構建童話世界的工程師,被困在了由AI工具引發的一場噩夢里。
一個普通的夜晚,前迪士尼工程師Matthew Van Andel因好玩下載了一款用于根據文本提示創建圖像的免費AI工具,卻在之后聲稱這個決定讓他的生活和事業都毀于一旦。
這位曾用代碼構建童話世界的工程師,被困在了由AI工具引發的一場噩夢里。
據悉,Van Andel本以為這是代碼共享平臺GitHub上的一個有用工具,結果卻發現它是一個惡意軟件。在使用這款AI圖像生成器的五個月時間里,他的個人計算機被侵入,直接導致其個人賬戶憑據和迪士尼超1TB的公司內部信息被公開泄露,甚至有外部攻擊者借此登入迪士尼的公司系統發布敏感信息,包括客戶數據、員工護照號以及收入數據。
并且,這次經歷使Van Andel本人在經濟和情感上遭受重創,不僅丟了工作、損失了約20萬美元,聲譽也受到了損害。直到現在,Andel的個人及家人賬戶仍然在遭受威脅。近期,他正在試圖通過律師向前公司交涉以八位數和解金來彌補其工資損失和情緒困擾的要求。
消息傳出后,網上許多人都在疑惑,這種事情究竟是怎么發生的?使用公開的AI工具為何能帶來如此嚴重的后果?GitHub平臺為何沒有發現?牽涉其中的是哪款AI圖像生成器?為此,我們去深入了解了整起事件。
被這款AI工具“坑害”的全過程
Van Andel的悲慘命運在去年2月埋下種子。
當時,Van Andel坐在家里的電腦前,無意中在GitHub上發現了一個文生圖AI工具,非常適合他和兩個兒子一起玩創意游戲。GitHub受到數百萬人的信任,開發人員可以在這里共享代碼和工具,似乎是一個安全的選擇。他點擊下載了這個工具,卻不知道這個簡單的舉動即將毀掉他的一生。
五個月來,這款免費AI軟件靜靜地待在Van Andel家的電腦上,雖然文生圖效果不錯,但這款AI助手中卻包裹著惡意軟件,并像潛伏特工一樣潛入他的系統。直到去年7月,一條令人不寒而栗的信息通過Discord論壇平臺發送到了他的電腦上,對方稱已掌握關于他本人的大量情報——包括幾天前他跟迪士尼同事共進午餐的細節。Van Andel的大腦開始飛速運轉,因為他敢肯定迪士尼以外的人不可能接觸得到這些情況。畢竟這個通過Discord論壇給他發過消息的人,沒辦法知曉他在Slack工作頻道里聊過什么。
緊接著,對方又發來另一條消息:“我已經掌握了跟你個人及職業生活相關的敏感信息訪問權。”到這里Van Andel終于可以肯定,自己是被黑客入侵了。黑客自稱是俄羅斯黑客活動組織的成員,早在五個月前就已經入侵了Van Andel的電腦。但安全研究人員認為,這位自稱Nullbulge的黑客很可能是頭“孤狼”,而且應該是美國人。
Van Andel馬上打給了迪士尼的“救援隊”,這是一支為快速應對網絡威脅而設立的企業團隊。他們證實Van Andel的Slack賬戶已遭入侵,但在他的辦公筆記本電腦上沒有發現任何可疑跡象,因此建議他檢查一下個人設備。他之前的殺毒軟件沒在個人PC上發現任何異常,但在安裝第二款殺毒程序之后,引發此番風波的罪魁禍首立刻浮出了水面。
在加利福尼亞州的家中,Van Andel查看了他從黑客那里收到的一封電子郵件。
在Van Andel與迪士尼響應團隊溝通的同時,黑客還發來了一封電子郵件,明確表示他能夠登錄Van Andel的個人郵箱賬戶,還抱怨自己發出的第一封郵件被Van Andel標記為垃圾郵件,第二封則被直接扔進垃圾箱,并警告稱,他的入侵活動即將開啟新的階段。“馬上回郵件,照我們說的做,否則指定沒你好果子吃。”
據Van Andel所知,黑客只有一種辦法能夠訪問到他的電子郵件,那就是操縱1Password——這是一款密碼管理工具,Van Andel用它來存儲密碼和其他敏感信息,包括“會話cookie”。這些數字文件持續存儲在他的電腦上,幫助他快速訪問包括迪士尼Slack頻道在內的各種在線資源。他用來保護自己數字生活的密碼管理軟件。
Van Andel沒有向黑客提供更多信息,他重置了存儲在1Password中的數百條憑證,選擇去報警。但黑客第二天一早就兌現了威脅,這個動機不明的神秘黑客組織,一口氣將4400多萬條迪士尼內部Slack聊天消息、超過18800份電子表格和至少13000份PDF發布到了網上,并公布了Van Andel存儲在1Password中的全部登錄憑證。至于這些內容是怎么來的……是黑客利用Van Andel的登錄憑證從雇主處瘋狂攫取而來。黑客還在網上聲稱,自己在迪士尼有一個“內線”。
而處于事件漩渦中心的這款AI圖像生成器,被曝很可能是Stable Diffusion。
去年6月,據外媒報道,以厭倦了大公司通過AI濫用他人的工作為由,NULLBULGE黑客組織開始通過破壞Github上免費共享的擴展ComfyUI_LLMVISION來攻擊使用Stable Diffusion的流行界面ComfyUI的用戶,從而將惡意軟件嵌入到目標用戶的電腦中。并且,他們聲稱自己的行為是打擊藝術品盜竊、加密推廣和AI生成藝術品的運動的一部分,并指責用戶犯下了“藝術品盜竊”罪。該組織隨后還在其網站上發布了一份據稱可以訪問數百名用戶賬戶的憑據列表。
至于為何GitHub平臺沒有發現這個工具已存在“問題”,有網友猜測了兩種情況:一是,Github是各種不受限制代碼的存儲庫,其中涉及的每一段代碼都是“合法的”,只是它的使用方式是壞的;二是可能是因為代碼的某些部分被故意混淆了,代碼中可能含有加密字符串。
這起事件的后果
此番黑客攻擊促使迪士尼網絡安全團隊開始評估損失。據該黑客組織稱,其泄露出的迪士尼內部數據超過1TB,包括他們未發布的項目、代碼、圖像、登錄憑據以及指向內部網站和API的鏈接。迪士尼則在去年8月的一份監管文件中提到正在調查這起事件,但預計不會對其運營或財務業績產生重大影響。黑客事件發生后,迪士尼方面通知員工正考慮放棄Slack,嘗試精簡辦公協作工具。
與此同時,Van Andel在這起事件發生幾周之后失業了。
在對他的工作電腦進行取證分析之后,迪士尼將其解雇,并表示在他的設備上發現了訪問過色情內容的記錄。Van Andel則堅決否認曾在自己的工作電腦上有過此類行為。迪士尼發言人在一份聲明中指出,“Van Andel先生聲稱他并未進行過導致他被解雇的不當行為,但公司在對發放給他的辦公設備進行了審查,并從中發現了有力證據。他的健康保險被終止,約20萬美元的獎金也打了水漂。”Van Andel只能無力地辯解,“我是黑客攻擊的受害者呀……”
Matthew的兄弟姐妹Christa Maier和Stephen Van Andel對外表示,黑客通過嵌入在知名AI圖像生成器中的惡意軟件,在他不知情的情況下訪問了他的個人設備。“這是他最初下載的一個工具,只是為了和孩子們一起玩。但它被某種東西污染了,直到幾個月后,當他們(黑客)挖掘數據時,這一點才會變得明顯。”
據了解,包括電子郵件在內的很多賬戶都受到雙因素身份驗證的保護。也就是說,除了用戶名加密碼的組合之外,黑客還得獲取其他信息才能成功入侵。大多數人出于方便,通常會選擇短信或者手機端應用來驗證,而Van Andel的第二道防線則是——1Password。
在調查入侵事件的過程中,Van Andel意識到他的“數字生活好管家”1Password并沒有受到雙重身份驗證的保護。默認情況下只需要用戶名加密碼就能登錄,他也沒有采取額外措施來啟用雙因素身份驗證。1Password公司發言人指出,一旦用戶的計算機上被安裝了鍵盤記錄木馬,“攻擊者就幾乎可以不受任何限制發起訪問。”
這起事件也徹底顛覆了Van Andel的生活,黑客竊取了他的信用卡號并大肆消費,滾滾賬單如雪片般飛來,甚至他的個人乃至財務賬戶登錄信息也被泄露了出去。
他開始接到媒體的電話,還有陌生人的奇怪來電和短信。Van Andel幾乎吃不下飯也睡不著覺,時常被驚恐和焦慮的情緒吞沒。攻擊者還把Van Andel的個人信息公布到了網上,用社保號碼就能順利登錄他家中安裝的Ring攝像頭,他的在線社交媒體賬戶被無數掌握了憑證的陌生人用于發布大量冒犯性言論。就連Van Andel孩子們的在線賬戶也受到了黑客攻擊的波及。
Van Andel一家人
作為兩個兒子的父親,42歲的Van Andel痛苦地表示,“這種被侵犯的感覺實在難以形容。”
現在Van Andel正努力回歸正常生活。他找了份臨時工作來支撐家庭生活,他妹妹則在GoFundMe上發起眾籌幫助他度過難關。去年12月19日,他的律師向迪士尼發出一封索賠函,要求對方就工資損失和精神折磨支付八位數的賠償金。Van Andel表示,時至今日,他仍會在網上看到有人嘗試用Nullbulge公布的泄露憑證入侵他的賬戶。
結語
Van Andel的經歷對于企業和個人來說都不失為一記響亮的警鐘,讓人們意識到自己隨時可能面臨黑客攻擊的風險。
網絡安全專家們表示,近年來竊取憑證市場經歷了一波大力發展,用于竊取憑證的黑客工具也如雨后春筍般涌現。在疫情期間,企業為了支持遠程辦公而開放了員工從家中訪問業務系統的權限,而黑客則很快意識到家用電腦已經成為通往企業環境的后門。黑客們開發出各種惡意工具,即信息竊取程序,并將其隱藏在人們從互聯網上下載的各類軟件當中。黑客們借此竊取憑證,之后再通過網絡轉售。
根據谷歌負責調查網絡入侵的Mandiant團隊所言,在去年以經濟為目的的網絡入侵活動中,有近40%使用到被盜憑證,相較于2022年已經增長了一倍。
本文來源:36氪
文章轉載于其他網絡,如有侵權請聯系我們及時刪除!
