Știri
Știri din categoria Securitate cibernetică
Anthropic investighează o breșă de acces la modelul Claude Mythos, după ce un număr mic de utilizatori neautorizați ar fi reușit să intre în mediul de testare al modelului, potrivit IT Home. Incidentul este relevant din perspectivă de securitate cibernetică deoarece Mythos este descris chiar de companie ca având capabilități puternice de atac, iar accesul ar fi fost obținut în afara canalelor aprobate.
Publicația notează că Bloomberg a relatat pe 21 aprilie că „câțiva” utilizatori fără autorizare au accesat Claude Mythos, iar Anthropic a confirmat ulterior că investighează. Modelul Mythos ar fi fost lansat pe 7 aprilie, iar Anthropic ar fi spus anterior că acesta poate identifica și exploata vulnerabilități în sisteme de operare și browsere populare.
Din acest motiv, compania ar fi limitat testarea la un număr redus de firme aprobate (inclusiv Apple și Amazon), printr-un program numit „Glasswing”, folosit pentru identificarea vulnerabilităților din sisteme.
Un purtător de cuvânt al Anthropic a confirmat că firma investighează raportări privind accesul neautorizat la „Claude Mythos Preview” printr-un mediu al unui furnizor terț. Conform informațiilor citate, Anthropic afirmă că:
IT Home mai scrie că incidentul ar fi avut loc în aceeași zi în care Anthropic a anunțat planul de testare limitată. Grupul implicat ar proveni dintr-un canal de Discord axat pe găsirea unor modele AI nelansate și ar fi „ghicit” locația online a modelului pe baza tiparelor folosite de Anthropic la modele anterioare, reușind astfel să ocolească protecțiile.
Potrivit relatării, grupul a furnizat presei capturi de ecran și o demonstrație, susținând că a folosit instrumentul timp de câteva săptămâni. Membrii ar fi afirmat că scopul a fost testarea modelului, nu producerea de pagube, și că au evitat solicitări legate de atacuri cibernetice pentru a nu declanșa alerte, limitându-se la sarcini cu risc redus (de exemplu, construirea unui site simplu).
În acest moment, informațiile disponibile indică o investigație în curs și un vector de acces confirmat, fără efecte raportate asupra sistemelor interne Anthropic. Nu sunt oferite detalii despre amploarea accesului, identitatea utilizatorilor sau măsuri corective deja aplicate, dincolo de faptul că incidentul este investigat.
Recomandate
Administrația SUA pregătește accesul unor agenții federale la o versiune „modificată” a modelului Claude Mythos , deși Pentagonul îl tratase anterior ca „risc de securitate” , într-o mișcare care mută discuția din zona „dacă” în zona „cum” se poate face o implementare sigură a unui model cu capabilități avansate de atac și apărare cibernetică, potrivit ITmedia . Casa Albă ar urma să permită utilizarea Mythos în mai multe instituții federale, dar nu în forma sa originală, ci printr-o variantă cu limitări și „garduri de protecție” înainte de integrarea în sisteme guvernamentale. În paralel, administrația a avut o întâlnire discretă cu CEO-ul Anthropic, Dario Amodei, iar Biroul pentru Management și Buget (OMB) lucrează la măsuri de control pentru această implementare. Ce se pregătește în administrația federală Conform informațiilor citate în material (dintr-un memoriu intern consultat de Bloomberg), CIO-ul federal Gregory Barbaccia a transmis în această săptămână o solicitare către responsabilii tehnici și de securitate din mai multe departamente, cerându-le să se pregătească pentru pașii următori. Mesajul nu promite explicit deschiderea accesului și nu include un calendar, menționând doar că vor urma detalii „în următoarele săptămâni”. Lista instituțiilor vizate indică miza operațională: notificările ar fi ajuns la Departamentul Apărării, Trezorerie, Comerț, Securitate Internă, Justiție și Departamentul de Stat — zone legate de securitate națională, infrastructuri critice, stabilitate financiară și aplicarea legii peste granițe. De ce „versiune modificată” și nu modelul integral În logica descrisă în material, Mythos nu este tratat ca un instrument obișnuit de tip software livrat ca serviciu (SaaS), ci ca o capabilitate care poate accelera atât apărarea, cât și atacul. De aici și ideea unei versiuni adaptate pentru guvern. „Modificarea” ar însemna, cel puțin, două straturi de constrângeri: limitări tehnice și de acces : ce funcții pot fi apelate, ce acțiuni sunt blocate, ce jurnalizare (loguri) este obligatorie; limitări de utilizare : încadrerea strictă în scopuri defensive — identificare de vulnerabilități, întărire de sisteme, evaluări de securitate. Context: Mythos, între utilitate defensivă și risc sistemic Anthropic poziționează Mythos în cadrul Project Glasswing (lansat pe 7 aprilie) ca un model de vârf destinat protejării „celui mai critic software” la nivel global. În același cadru, compania susține că modelul ar fi identificat „mii” de vulnerabilități de tip zero-day (necunoscute anterior) în infrastructuri critice și că accesul este, deocamdată, limitat (Gated Research Preview). Printre participanții inițiali menționați se află AWS, Apple, Google, JPMorgan, Microsoft, Nvidia, Palo Alto Networks și Linux Foundation, alături de „peste 40” de organizații cu acces limitat. Anthropic a anunțat și sprijin sub formă de credite de utilizare și donații, în cadrul acestui program. În același timp, îngrijorările au depășit zona tehnică. Materialul notează că, la începutul lunii aprilie, secretarul Trezoreriei Scott Bessent și președintele Rezervei Federale, Jerome Powell, ar fi convocat bănci mari pentru a discuta riscurile generate de astfel de modele, tratate ca potențială temă de risc sistemic, nu doar ca dispută punctuală în jurul unei companii. Contradicția din interiorul guvernului: Pentagonul vs. agențiile civile Deși Casa Albă pregătește accesul pentru agenții federale, relația cu Departamentul Apărării rămâne tensionată. Materialul afirmă că Pentagonul a clasificat Anthropic drept „risc de lanț de aprovizionare” și a cerut companiilor care lucrează cu armata să elimine software-ul Anthropic din fluxurile relevante; compania nu ar putea participa la contracte ale Pentagonului, dar ar putea lucra cu alte instituții în timp ce litigiul continuă. În schimb, potrivit Axios (citat în material), agenții civile precum Energie și Trezorerie ar fi mai interesate de utilizarea modelului pentru prioritizarea vulnerabilităților din rețele reale — de la rețeaua electrică la sisteme financiare și infrastructuri locale. Ce se schimbă, de fapt: de la „riscuri AI” la „securitatea implementării” Miza principală, așa cum reiese din material, este schimbarea de accent în politicile publice: de la controlul resurselor (cipuri, putere de calcul, exporturi, siguranța antrenării) către siguranța implementării în sisteme sensibile. În această logică, întrebările devin operaționale și de guvernanță: cine primește acces primul, cât de adânc intră modelul în infrastructură și cine răspunde dacă apar incidente. Pentru moment, semnalul de la Washington este că va încerca să „introducă” mai întâi modelul într-un cadru de reguli și limitări (versiunea modificată și măsurile OMB), înainte de o extindere efectivă la scară largă în agenții. [...]
Mozilla spune că a închis 271 de vulnerabilități în Firefox cu ajutorul unui model AI, un semnal că automatizarea începe să conteze operațional în securitate – potrivit Engadget , fundația a folosit „Claude Mythos Preview”, un model special al Anthropic, pentru a identifica și remedia probleme de securitate în cea mai recentă versiune a browserului. Mozilla susține că utilizarea modelului a ajutat echipa să găsească și să repare 271 de vulnerabilități. În mesajul său, organizația afirmă că, până acum, nu a întâlnit „nicio categorie sau complexitate de vulnerabilitate” pe care oamenii o pot descoperi și pe care modelul să nu o poată identifica. Ce înseamnă, practic, pentru operațiunile de securitate Din detaliile prezentate, valoarea principală a instrumentului pare să fie accelerarea muncii de triere și descoperire, nu „magia” de a găsi breșe imposibil de detectat altfel. Mozilla notează că, în perioada în care a lucrat cu Claude Mythos, AI-ul nu a scos la iveală erori pe care un om nu le-ar fi putut găsi „cu suficient timp și resurse” – o nuanță importantă pentru companiile care evaluează dacă astfel de modele schimbă fundamental raportul de forțe în securitate. Context: Project Glasswing și rolul unei validări din afara Anthropic Engadget plasează exemplul Mozilla în contextul Project Glasswing, inițiativa Anthropic de a folosi AI pentru a preveni atacuri cibernetice cu ajutorul AI. Publicația observă că o confirmare venită de la o terță parte (Mozilla), nu doar din comunicarea companiei care dezvoltă modelul, poate cântări în credibilitatea demersului. Opțiune pentru utilizatorii care nu vor funcții AI Pentru utilizatorii Firefox care nu doresc funcții de „AI generativ” în experiența de navigare, Mozilla oferă de câteva luni posibilitatea de a dezactiva complet aceste funcții, mai notează articolul. [...]
STS a atribuit contracte de zeci de milioane de lei pentru extinderea și întărirea cibernetică a serviciului 112 , într-o achiziție care vizează atât creșterea capacității tehnice, cât și reducerea vulnerabilităților, potrivit Profit . Serviciul de Telecomunicații Speciale (STS) a finalizat atribuirea mai multor loturi dintr-o licitație estimată la 40,88 milioane de lei, fără TVA, pentru produse software, hardware și soluții de securitate cibernetică destinate extinderii și eficientizării Serviciului de urgență 112. Miza operațională este directă: infrastructura 112 trebuie să gestioneze volume mari de apeluri și date, iar modernizarea urmărește să întărească reziliența (capacitatea de a funcționa și în condiții de incident) și să reducă riscurile asociate atacurilor informatice. Cine a câștigat și ce livrează Din informațiile disponibile, STS a semnat contracte cu mai multe companii, pe loturi distincte: Metaminds va livra echipamente de stocare (lot 3) în valoare de 5,22 milioane de lei , fără TVA, față de un estimat de 6,77 milioane de lei , fără TVA. Tot Metaminds va încasa 1,08 milioane de lei , fără TVA, pentru echipamente FW pentru dispozitive mobile (lot 6) , lot estimat la 3,35 milioane de lei , fără TVA. (FW se referă la echipamente de tip „firewall”, folosite pentru filtrarea și controlul traficului de rețea.) Datanet Systems a semnat contractul pentru echipamente de tip switch (lot 4) , în valoare de 3,21 milioane de lei , fără TVA, față de un estimat de 3,66 milioane de lei , fără TVA. (Switch-urile sunt echipamente care conectează și gestionează traficul într-o rețea.) Ce urmează și ce nu este încă detaliat Articolul indică atribuirea „mai multor contracte” în cadrul licitației, însă în fragmentul de text disponibil nu apar toate loturile, furnizorii și valorile finale aferente fiecăruia. În măsura în care STS va publica detalii complete despre restul contractelor (inclusiv componentele software și celelalte elemente de securitate cibernetică), acestea vor contura mai precis amploarea modernizării și calendarul de implementare. [...]
Vercel confirmă o breșă cu acces neautorizat la sisteme interne , iar incidentul ridică riscuri operaționale pentru clienți prin posibila expunere a „secretelor” folosite în aplicații (chei și tokenuri), potrivit Bleeping Computer . Platforma de dezvoltare și găzduire în cloud, cunoscută inclusiv pentru Next.js, spune într-un buletin de securitate că a identificat „un incident de securitate care a implicat acces neautorizat la anumite sisteme interne Vercel” și că a fost afectat „un subset limitat” de clienți. Compania afirmă că investighează, a angajat experți în răspuns la incidente, a notificat autoritățile și va actualiza informațiile pe măsură ce ancheta avansează. Vercel susține că serviciile sale „nu au fost afectate” și că lucrează direct cu clienții impactați. Ca măsuri de protecție, compania recomandă clienților să își revizuiască variabilele de mediu (configurări care pot include parole, chei și alte date sensibile), să folosească funcția de „variabile de mediu sensibile ” și să rotească secretele dacă este necesar. Buletinul de securitate al companiei este disponibil aici: Vercel , iar documentația pentru funcția menționată: Vercel . Ce susțin atacatorii și ce rămâne neconfirmat Dezvăluirea vine după ce un actor de amenințare care pretinde că este „ShinyHunters” a postat pe un forum că ar fi compromis Vercel și că ar vinde acces la date ale companiei. Totuși, aceeași sursă notează că actori asociați unor atacuri recente atribuite grupării ShinyHunters au negat că ar fi implicați în acest incident. Atacatorul a afirmat că ar vinde, între altele, chei de acces, cod sursă și date din baze de date, precum și acces la implementări interne și chei API. În postare apare și un fragment prezentat drept „dovadă”, care menționează tokenuri NPM și GitHub. Atacatorul a mai distribuit un fișier text cu informații despre angajați Vercel, descris ca având 580 de înregistrări (nume, adrese de e-mail Vercel, status de cont și marcaje temporale de activitate), plus o captură de ecran care ar părea să provină dintr-un tablou de bord intern Vercel Enterprise. Publicația precizează că nu a putut confirma independent autenticitatea datelor sau a capturii. Miza pentru clienți: rotația „secretelor” și controlul accesului Din perspectiva impactului operațional, recomandarea de a revizui variabilele de mediu și de a roti secretele indică un risc tipic în astfel de incidente: dacă tokenurile sau cheile au fost expuse, ele pot fi folosite pentru acces neautorizat la servicii și fluxuri de livrare software (de exemplu, publicare de pachete, acces la depozite de cod sau la API-uri). În mesaje distribuite pe Telegram, atacatorul a mai susținut că ar fi discutat cu Vercel despre o presupusă cerere de răscumpărare de 2 milioane de dolari (aprox. 9 milioane lei). Bleeping Computer spune că a cerut companiei clarificări, inclusiv dacă au fost expuse date sensibile sau credențiale și dacă există negocieri cu atacatorii, urmând să actualizeze informațiile dacă primește un răspuns. [...]
Un hacker care a intrat de zeci de ori în sistemele Curții Supreme a SUA a primit un an de pedeapsă cu suspendare , după ce și-a recunoscut faptele, potrivit ITmedia . Cazul atrage atenția asupra riscului operațional al accesului neautorizat în platforme critice ale instituțiilor publice, în condițiile în care procurorii au cerut în final o sancțiune mai blândă decât pedeapsa cu închisoarea. Potrivit informațiilor citate de publicație din The Hill, Nicholas Moore a pătruns ilegal, pe parcursul mai multor luni, de „zeci de ori” în sistemul electronic de arhivare a documentelor al Curții Supreme din SUA și a pledat vinovat. Sentința a fost pronunțată vineri, ora locală, iar instanța a decis un an de suspendare a pedepsei. Ce sisteme au fost vizate și cum a obținut accesul În același dosar, Moore ar fi compromis și alte rețele guvernamentale americane: sistemele AmeriCorps (program guvernamental care gestionează proiecte de voluntariat plătite cu indemnizații); sistemele Departamentului pentru Afacerile Veteranilor (instituție care asigură servicii medicale și beneficii pentru veterani). Conform relatării, hackerul a folosit datele de autentificare ale unuia dintre victime (credite de acces) pentru a intra în sistemele menționate. Lăudat online și expunere de informații ITmedia notează că Moore s-a lăudat cu intruziunile pe un cont de Instagram numit „@ihackedthegovernment” („am spart guvernul”), unde ar fi publicat și informații despre țintele compromise. De ce contează decizia instanței Înainte de reducerea pretențiilor acuzării, Moore risca până la un an de închisoare și plata a 100.000 de dolari (aprox. 460.000 lei) drept despăgubiri, însă procurorii au cerut ulterior doar pedeapsă cu suspendare, iar instanța a mers pe această variantă. La audierea de vineri, Moore a declarat: „Am greșit, îmi pare sincer rău. Respect legea și vreau să fiu un cetățean care respectă legea.” Publicația nu oferă detalii suplimentare despre eventuale măsuri tehnice luate de instituțiile vizate sau despre amploarea pagubelor, dincolo de suma menționată în dosar. [...]
ANAF avertizează că o nouă schemă de „ vishing ” poate duce la furt de date personale și financiar-bancare , după ce infractorii falsifică aparența unor apeluri venite din partea Fiscului, folosind inclusiv informații publice pentru a părea credibili, potrivit Biziday . Agenția Națională de Administrare Fiscală arată că, în timpul acestor apeluri, sunt folosite „date și nume publicate pe portalul anaf.ro”, însă numerele de telefon de pe care se sună „nu aparțin instituției”. Ținta este obținerea de informații sensibile, sub pretextul că apelantul ar fi inspector al Direcției Generale Antifraudă Fiscală . „Inspectorii ANAF Antifraudă NU solicită telefonic date personale sau financiar-bancare”. Ce ar trebui să facă cei contactați ANAF recomandă să nu fie divulgate informații către interlocutori necunoscuți și îi îndeamnă pe cei care au primit astfel de apeluri să depună o sesizare la adresa www.anaf.ro/asistpublic . În sesizare ar trebui incluse, dacă sunt disponibile, date observabile în timpul tentativei, precum: numărul de telefon de la care a fost primit apelul; data și ora apelului; caracteristici ale vocii apelantului, care susține că reprezintă ANAF. Agenția precizează că aceste observații și indicii vor fi transmise mai departe organelor de cercetare penală. [...]
