Hôm nay có nhiều sự kiện an ninh mạng đáng chú ý xảy ra trên thế giới. Nhóm hacker Trung Quốc được biết đến với tên gọi APT41 ngày càng tăng cường hoạt động tấn công vào lưới điện. Các nhà nghiên cứu mối đe dọa tại công ty phần mềm bảo mật Symantec vừa công bố bằng chứng mới cho thấy nhóm hacker Trung Quốc này đã xâm nhập vào lưới điện của một quốc gia châu Á. Một số chi tiết về cuộc tấn công mới nhắc nhở đến cuộc tấn công vào lưới điện ở Ấn Độ năm 2021, cho thấy các hacker này có thể chịu trách nhiệm.
Ở Argentina, đồng loạt xảy ra một scandal liên quan đến việc sử dụng phần mềm nhận dạng khuôn mặt tại Buenos Aires. Mặc dù có luật yêu cầu các cơ quan chức năng chỉ tìm kiếm trong số những người đã bị truy nã, một cuộc điều tra của một thẩm phán phát hiện ra rằng hệ thống này đã được sử dụng để tra cứu những người không có liên quan đến tội phạm. Trong một số trường hợp, sai sót đã khiến cảnh sát bắt giữ hoặc thẩm vấn nhầm người. Mặc dù Buenos Aires đang cố gắng để hệ thống này hoạt động trở lại sau khi các quyết định pháp lý yêu cầu tắt nó đi, thảm kịch này cho thấy sự nguy hiểm của công nghệ nhận dạng khuôn mặt ngay cả khi có luật hạn chế.
Nhận dạng khuôn mặt không phải là hệ thống trí tuệ nhân tạo duy nhất mà các chính phủ đang sử dụng ở các cách mới và đáng lo ngại. Giống như mọi người khác, các chính quyền địa phương và bang tại Hoa Kỳ đã bắt đầu sử dụng các công cụ trí tuệ nhân tạo dựa trên trí tuệ nhân tạo như ChatGPT. Đến nay, vẫn chưa có sự đồng thuận về cách sử dụng công nghệ này. Một số tiểu bang Hoa Kỳ, như Maine, đã tạm ngừng sử dụng hoàn toàn, lo ngại về các vấn đề liên quan đến an ninh mạng, trong khi các tiểu bang khác đang sử dụng nó để soạn các bài diễn thuyết và bài viết trên mạng xã hội.
Trong khi đó, Thượng viện Hoa Kỳ đang tiếp tục nhận sự giáo dục về trí tuệ nhân tạo. Khoảng 60 Thượng nghị sĩ đã tham dự cuộc họp kín tuần này, trong đó họ nghe từ các CEO của các công ty công nghệ lớn, bao gồm Elon Musk, Mark Zuckerberg và Sam Altman, cũng như các chuyên gia về đạo đức và e ngại về trí tuệ nhân tạo. Thượng viện đã tìm hiểu về trí tuệ nhân tạo và các vấn đề liên quan trong suốt một phần lớn năm nay, và sẽ có một diễn đàn khác về sáng tạo trí tuệ nhân tạo vào cuối năm nay. Mặc dù đã có những buổi họp chọc trọ nhanh nhưng một số nhà lập pháp lại đặt câu hỏi liệu họ có gần hơn để xử lý trí tuệ nhân tạo một cách có trách nhiệm hay không.
Cuối cùng, cuộc tấn công mạng vào các sòng bạc MGM vẫn gây ra hỗn loạn cho khách của các khu nghỉ của nó gần một tuần sau khi cuộc tấn công bắt đầu. Mặc dù một cuộc tấn công vào một công ty sòng bạc lớn như vậy là không thể tránh khỏi sự chú ý, nhóm phía sau việc vi phạm, được gọi là Alphv, đã từng tấn công vào các trường học và bệnh viện – những cuộc tấn công có tác động nghiêm trọng hơn rất nhiều.
Đó không phải là tất cả. Hàng tuần, chúng tôi tổng hợp các tin tức về an ninh và quyền riêng tư mà chúng tôi chưa bàn đến từng chi tiết. Nhấp vào tiêu đề để đọc toàn bộ câu chuyện và hãy giữ an toàn khi sử dụng Internet.
Nếu bạn chưa cập nhật trình duyệt trong vài ngày qua, nó có khả năng chứa một lỗ hổng nguy hiểm. Lỗi đã được tiết lộ gần đây tồn tại trong thư viện mã WebP được biết đến là libwebp, mã hóa và giải mã hình ảnh trong định dạng WebP được sử dụng rộng rãi. Lỗi này, được gọi chung là “tràn không gian nhớ heap”, có thể được khai thác bằng cách sử dụng một hình ảnh độc hại được tạo ra đặc biệt, cho phép kẻ tấn công chạy mã độc hại trên thiết bị nhắm mục tiêu. Google cho biết lỗi này đã được khai thác sử dụng trong thực tế.
Ban đầu được xác định sớm trong tuần này như một lỗ hổng zero-day trong trình duyệt Chrome của Google, lỗi libwebp ảnh hưởng đến các trình duyệt được xây dựng bằng Chromium, điều đó có nghĩa là Chrome, Firefox của Mozilla, Microsoft Edge, Opera, Brave, và nhiều hơn nữa. Nó cũng ảnh hưởng đến các ứng dụng như Telegram, 1Password, Thunderbird và Gimp. Các bản vá cho lỗi này đang được triển khai, vì vậy hãy chú ý đến các bản cập nhật.
Quảng cáo trực tuyến độc hại, còn được gọi là “malvertising”, đã xuất hiện từ nhiều năm nay. Bây giờ, chúng đang đi theo hướng chuyên nghiệp hơn. Một số công ty Israel đang phát triển các cách khai thác sử dụng những điểm yếu trong cơ chế kỹ thuật mà chúng tạo ra quảng cáo trực tuyến, Haaretz báo cáo, cho phép kẻ tấn công theo dõi người và xâm nhập vào thiết bị của họ. Cách khai thác này tận dụng quá trình đấu giá quảng cáo trực tuyến, trong đó các bot đang cạnh tranh cho một số lượng quảng cáo cụ thể trên các trang web trong thời gian thực. Tận dụng một phần nhỏ của giây trước khi một khe quảng cáo được lấp đầy, các công ty này đã tìm ra cách để hiển thị cho bạn một quảng cáo cho “phần mềm gián điệp tiên tiến”. Mặc dù không có giải pháp nhanh chóng để ngăn chặn sự lan truyền của phần mềm độc hại này, có một điều đơn giản bạn có thể làm để bảo vệ bản thân: sử dụng một trình chặn quảng cáo.
Nguồn: https://www.wired.com/story/libwebp-flaw-browser-updates/
China-linked hackers are increasingly moving beyond espionage and into the disturbing world of power grid attacks. Threat researchers at security software firm Symantec this week released new evidence that the Chinese hacking group known as APT41 infiltrated the power grid of an Asian nation. Some details of the latest intrusion echo a 2021 attack on India’s power grid, suggesting the same hackers are responsible.
In Argentina, a scandal is playing out over the use of facial recognition software in Buenos Aires. Despite laws that require authorities to limit searches to known fugitives, an investigation by a judge found that the system was used to look up people not wanted for any crimes. In other cases, errors led police to arrest or question the wrong people. While Buenos Aires is attempting to get the system back online after legal rulings ordered it turned off, the debacle shows how dangerous facial recognition can be even when laws are in place to limit it.
Facial recognition isn’t the only artificial-intelligence-powered system governments are using in new and upsetting ways. Like everyone else, state and local governments around the United States have begun to play with generative AI tools like ChatGPT. And so far, there’s no consensus on how to use the technology. Some US states, like Maine, have temporarily banned its use altogether, fearing cybersecurity concerns, while others are using it to craft speeches and social media posts.
Meanwhile, the US Senate is in the midst of getting an AI education. Around 60 senators attended a closed-door briefing this week, where they heard from major tech CEOs, including Elon Musk, Mark Zuckerberg, and Sam Altman, as well as civil liberties advocates and AI ethics experts. The Senate has been learning about AI and its myriad issues for much of the year, and another forum on AI innovation is scheduled for later this year. Despite these cramming sessions, some lawmakers question whether they’re any closer to tackling AI responsibly.
Finally, the cyberattack against MGM casinos continues to cause havoc for guests of its resorts nearly a week after the attack began. While an attack on a major casino company is inevitably high-profile, the group behind the breach, known as Alphv, has a long history of targeting schools and hospitals—attacks that are far more consequential.
That’s not all. Each week, we round up the security and privacy news we didn’t cover in depth ourselves. Click the headlines to read the full stories, and stay safe out there.
Unless you updated your browser in the past few days, it likely contains a critical flaw. The recently disclosed vulnerability exists in the WebP code library known as libwebp, which encodes and decodes images in the widely used WebP format. Known generally as a “heap buffer overflow,” the flaw can be exploited using a specially crafted malicious image, allowing an attacker to run malicious code on a targeted device. Google says the bug has already been exploited in the wild.
Initially identified early this week as a zero-day vulnerability in Google’s Chrome browser, the libwebp bug impacts browsers built using Chromium, which means Chrome, Mozilla’s Firefox, Microsoft Edge, Opera, Brave, and more. It also affects apps like Telegram, 1Password, Thunderbird, and Gimp. Patches for the flaw are rolling out now, so keep your eyes peeled for updates.
Malicious online ads—also known as “malvertising”—have been around for years. Now, they’re going pro. Several Israeli companies are developing exploits that take advantage of weaknesses in the technical mechanisms that bombard you with ads online, Haaretz reports, allowing attackers to track people and hack their devices. The exploit takes advantage of the online advertising bidding process, in which bots are competing for specific ad slots on web pages in real time. Taking advantage of the fraction of a second before an ad slot is filled, these companies have figured out how to show you an ad that reportedly contains “advanced spyware.” While there’s no quick fix for stopping the spread of this malware, there is something simple you can do to protect yourself: Use an ad blocker.
European data regulators fined TikTok €345 million ($368 million) this week for breaking laws related to the privacy of underage users. The Irish Data Protection Commission (DPC) said the company violated GDPR by failing to make the accounts of child users private by default. The DPC also says TikTok’s “family pairing” feature, which enables an adult to take control of a child’s account settings, did not ensure that the adult with access to the feature was a parent or guardian. TikTok says it opposes the fine because it had updated its settings to make the accounts of anyone under 16 years old private by default before the investigation began.
Turns out, secretly interfering in the battle plans of a United States ally doesn’t go over well in Washington. The US Senate Armed Services Committee has launched an inquiry into Elon Musk’s decision to not enable Starlink satellite communications in Crimea ahead of a Ukrainian military attack on Russian forces. The move, first revealed in author Walter Isaacson’s new biography on Musk, also prompted several Democratic senators to send a letter to the US defense secretary, Lloyd Austin, asking him to explain what actions the Department of Defense (DOD) has taken, or plans to take, to “prevent further dangerous meddling” by Musk.
“SpaceX is a prime contractor and a critical industry partner for the (DOD) and the recipient of billions of dollars in taxpayer funding,” the letter reads. “We are deeply concerned with the ability and willingness of SpaceX to interrupt their service at Mr. Musk’s whim and for the purpose of handcuffing a sovereign country’s self-defense, effectively defending Russian interests.”
Even if you have a spotless record, passing a background check can be one of the most stressful parts of landing a new job or an apartment. We have bad news: It’s possible the information used to assess your eligibility might not be accurate. The US Federal Trade Commission (FTC) this week announced a $5.8 million fine against background check providers TruthFinder and Instant Checkmate for “failing to ensure the maximum possible accuracy of their consumer reports,” a violation of the Fair Credit Reporting Act. The FTC alleges that the companies “made millions” by selling subscriptions that would alert people when a “criminal record” was found in their background check, “when the record was merely a traffic ticket.” The company also displayed “Remove” and “Flag as Inaccurate” buttons that the FTC says “did not work as advertised.”
The regulatory ding against TruthFinder and Instant Checkmate comes several months after the companies confirmed a data breach. In January, hackers leaked the personal information of millions of customers by leaking an April 2019 database backup stolen from the companies.
