Araç kiralama şirketi Europcar, bir tehdit aktörünün 50 milyon müşterinin kişisel bilgilerini sattığını iddia etmesinin ardından herhangi bir veri ihlali yaşamadığını ve paylaşılan müşteri verilerinin sahte olduğunu söyledi.
Pazar günü bir kişi, popüler bir hack forumunda 48.606.700 Europcar.com müşterisinin verilerini sattığını iddia etti.
Gönderide, Europcar müşterisi olduğu iddia edilen 31 kişinin isimleri, adresleri, doğum tarihleri, ehliyet numaraları ve diğer bilgiler dahil olmak üzere çalınan veri örnekleri yer alıyordu.
Ancak dün gece Europcar ile iletişime geçtikten sonra, BleepingComputer’a söylendi ihlalin sahte olduğunu ve verilerin yapay zeka kullanılarak üretildiğini söyledi.
“Bir tehdit istihbarat servisi tarafından, bir hesabın karanlık ağda Europcar verilerini satıyormuş gibi davrandığına dair bilgilendirildikten ve örnekte yer alan verileri kapsamlı bir şekilde kontrol ettikten sonra, bu reklamın yanlış olduğundan eminiz:
– kayıt sayısı tamamen yanlış ve bizimkilerle tutarsız,
– örnek veriler büyük olasılıkla ChatGPT tarafından oluşturulmuştur (adresler mevcut değildir, posta kodları eşleşmiyor, ad ve soyadı e-posta adresleriyle eşleşmiyor, e-posta adresleri çok alışılmadık TLD’ler kullanıyor),
– ve en önemlisi: bu e-posta adreslerinin hiçbiri veri tabanımızda mevcut değil.”
Have I Been Pwned’den Troy Hunt’ın açıkladığı gibi, verilerin çoğu açıkça sahte olsa da, bunların yapay zeka kullanılarak oluşturulduğuna inanmıyor.
Hunt, e-posta adreslerinin kullanıcı adlarıyla eşleşmediğine dikkat çekti. Örneğin, tüm kullanıcı adları bir ad veya soyadı içerir ancak hiçbiri verilerde listelenen tam adla eşleşmez.
Verilerin sahte olduğunun ikinci göstergesi adreslerin mevcut olmamasıdır. Örneğin, listelenen müşteri kayıtlarından ikisi, var olmayan “Lake Alyssaberg, DC” ve “West Paulburgh, PA” kasabalarını kullanıyor.
Diğer bir gösterge ise adreslerin ve telefon numaralarının ABD’deki bölgeler için olduğu, ancak ilgili e-postaların çoğunun diğer ülkeler için olduğudur.
Europcar, BleepingComputer’a bu verilerin yapay zeka kullanılarak oluşturulduğuna inandıklarını söylerken Hunt, Have I Been Pwned tarafından izlenen önceki veri ihlallerinde görünen bazı e-posta adreslerinin gerçek olduğuna dikkat çekiyor.
Bunun yerine Hunt, yapay zekadan bahsetmenin konunun popülaritesi nedeniyle sadece sıcak bir değerlendirme olduğuna ve bu verilerin oluşturulmasında yer almadığına inanıyor.
“Ezelden beri uydurma ihlaller yaşıyoruz çünkü insanlar yayın süresi istiyor, kendilerine isim yapmak ya da belki hızlı para kazanmak istiyor.” Hunt’ı açıklıyor.
“Kim bilir, bunun bir önemi yok, çünkü bunların hiçbiri onu “Yapay Zeka” yapmaz ve buna dayanarak manşet aramak veya spam mesajları göndermek tam anlamıyla aptalca.”
Güvenlik araştırmacısının belirttiği gibi NexusBulanıkherkesin sahte veri ihlali örneklerinde paylaşılanlara neredeyse tamamen benzeyen veriler oluşturmasına olanak tanıyan mevcut projeler var.
Tehdit aktörleri dolandırıcılık ve saldırılarının bir parçası olarak halihazırda yapay zekayı kullanıyor ve muhtemelen gelecekte de kullanımını genişletecek olsa da, bu olay onlardan biri gibi görünmüyor.