Nhóm người dùng Discord truy cập trái phép vào công cụ AI Mythos của Anthropic

Một nhóm người dùng Discord đã gây chấn động khi tìm cách truy cập trái phép vào mô hình AI Mythos Preview của Anthropic—một công cụ được đánh giá là cực kỳ mạnh mẽ trong việc phát hiện lỗ hổng bảo mật. Thay vì sử dụng các kỹ thuật tấn công AI phức tạp, nhóm này đã sử dụng các phương pháp thám tử mạng cơ bản để đạt được mục tiêu.

Theo báo cáo của Bloomberg, nhóm người dùng này đã khai thác dữ liệu từ vụ rò rỉ gần đây tại Mercor, một startup về đào tạo AI. Từ đó, họ "đưa ra phán đoán có căn cứ về vị trí trực tuyến của mô hình dựa trên kiến thức về định dạng mà Anthropic đã sử dụng cho các mô hình khác". Ngoài ra, họ còn tận dụng các quyền truy cập sẵn có từ công việc hợp tác với một nhà thầu của Anthropic để tiếp cận các mô hình khác.

Mặc dù đã truy cập được vào Mythos và một số mô hình AI chưa phát hành khác của Anthropic, nhóm này cho biết họ chỉ sử dụng công cụ để xây dựng các trang web đơn giản nhằm tránh bị phát hiện, thay vì thực hiện các hành vi hack độc hại.

Các công ty giám sát khai thác lỗ hổng viễn thông toàn cầu

Các nhà nghiên cứu tại tổ chức quyền kỹ thuật số Citizen Lab đã tiết lộ rằng ít nhất hai nhà cung cấp dịch vụ giám sát vì lợi nhuận đang khai thác lỗ hổng trong các giao thức viễn thông để theo dõi nạn nhân. Cụ thể, các công ty này đã đóng vai trò như những nhà mạng "ma" và lợi dụng quyền truy cập vào ba nhà mạng nhỏ là 019Mobile (Israel), Tango Mobile (Anh) và Airtel Jersey (Đảo Jersey) để định vị điện thoại của mục tiêu.

Citizen Lab cảnh báo rằng các lỗ hổng trong giao thức SS7 (Hệ thống tín hiệu số 7) và các thế hệ giao thức viễn thông tiếp theo vẫn là một vectơ tấn công thực tế và nguy hiểm trên toàn cầu, cho phép theo dõi vị trí mà không cần sự đồng ý của người dùng.

Các tin tức an ninh mạng đáng chú ý khác

Bộ Tư pháp Mỹ truy tố quản lý các khu lừa đảo ở Đông Nam Á

Bộ Tư pháp Mỹ (DOJ) đã tuyên bố buộc tội hai nam công dân Trung Quốc là Jiang Wen Jie và Huang Xingshan vì bị cáo buộc quản lý một khu lừa đảo tại Myanmar và lên kế hoạch mở thêm một cơ sở tại Campuchia. Hoạt động này liên quan đến buôn bán người và lừa đảo đầu tư tiền điện tử, gây thiệt hại hàng triệu USD. DOJ đã phong tỏa 700 triệu USD tài sản liên quan và thu kênh Telegram được dùng để lừa đảo nạn nhân.

500.000 hồ sơ y tế của Anh bị rao bán trên Alibaba

UK Biobank và chính phủ Anh xác nhận rằng dữ liệu sức khỏe của hơn 500.000 công dân Anh đã bị ba tổ chức nghiên cứu khoa học đưa lên bán trên nền tảng Alibaba. Dữ liệu bao gồm hình ảnh y tế, thông tin gen và hồ sơ chăm sóc sức khỏe. UK Biobank cho biết đây là hành vi vi phạm hợp đồng và đã đình chỉ tài khoản của các tổ chức này cũng như yêu cầu gỡ bỏ các quảng cáo bán dữ liệu.

Apple vá lỗi khiến FBI lấy được thông báo từ Signal

Apple đã phát hành bản cập nhật bảo mật cho iOS và iPadOS để khắc phục một lỗ hổng nghiêm trọng. Trước đó, FBI có thể truy xuất nội dung tin nhắn từ ứng dụng Signal—even sau khi ứng dụng đã bị xóa—thông qua cơ sở dữ liệu thông báo đẩy (push notifications) trên iOS. Bản cập nhật mới đã giải quyết vấn đề ghi nhật ký này, nhưng người dùng vẫn được khuyên nên thay đổi cài đặt thông báo để chỉ hiển thị tên hoặc không hiển thị nội dung nhằm tăng cường quyền riêng tư.