Хаки ШІ створюють для споживачів цілу зграю загроз конфіденційності

Дмитро Сизов

Хакери використовують штучний інтелект для видобутку безпрецедентних масивів особистої інформації, викинутої в Інтернет за останній рік, а також нерегульованих комерційних баз даних, щоб обманом змусити американських споживачів і навіть досвідчених професіоналів відмовитися від контролю над банківськими та корпоративними рахунками.

Озброєні конфіденційною інформацією про здоров’я , записами про дзвінки та сотнями мільйонів номерів соціального страхування , злочинці та оперативники країн, ворожих Сполученим Штатам, створюють електронні листи, голосові дзвінки та текстові повідомлення, які нібито надходять від урядовців, колег чи родичів, які потребують допомоги. або знайомі фінансові організації, які намагаються захистити рахунки замість того, щоб їх виснажувати.

«Там так багато даних, які можна використовувати для фішингу та скидання паролів, що це знизило загальну безпеку для всіх, а штучний інтелект значно полегшив використання зброї», — сказав Ашкан Солтані, виконавчий директор Каліфорнійського агентства із захисту конфіденційності. , єдине подібне агентство державного рівня.

Збитки, про які повідомляє Центр розгляду скарг на злочини в Інтернеті ФБР, зросли майже втричі з 2020 по 2023 роки до 12,5 мільярдів доларів, а низка чутливих порушень цього року лише посилила незахищеність Інтернету. Наприклад, нещодавно виявлені китайські урядові хакерські атаки американських телекомунікаційних компаній AT&T, Verizon та інших були визнані настільки серйозними, що урядовцям наказано не обговорювати делікатні питання по телефону, заявили деякі з цих чиновників в інтерв’ю. У лютому російська банда програм-вимагачів зламала Change Healthcare і зібрала дані про захворювання та лікування мільйонів американців, а в серпні невеликий брокер даних National Public Data визнав, що втратив контроль над сотнями мільйонів номерів соціального страхування та адреси, які зараз продаються хакерами.

Тим часом можливості штучного інтелекту розширюються з шаленою швидкістю. «Ризики індустрії стеження, що розвивається, лише посилюються ШІ та іншими формами прогнозного прийняття рішень, які підживлюються величезними наборами даних, які збирають брокери даних», — заявив у вересні директор Бюро захисту прав споживачів США Рохіт Чопра.

Рохіт Чопра, директор Бюро захисту прав споживачів, дає свідчення у 2022 році на Капітолійському пагорбі. (Сара Зілбігер для The Washington Post)

Через відсутність федерального законодавства про конфіденційність, яке б зупинило потік, експерти з національної безпеки побоюються, що іноземні шпигунські агентства продовжуватимуть збирати все, що їм потрібно, щоб зламати, вербувати чи шантажувати посадових осіб із конфіденційними місіями, боргами та незручними особистими секретами. «Шість чи сім років тому люди казали, що даних забагато; супротивники не знають, що з цим робити», — сказав The Washington Post старший радник CFPB Кірен Гопал. «Тепер у них є інструменти штучного інтелекту, щоб шукати дійсно корисні речі».

Далеко неясно, що означатиме прихід адміністрації новообраного президента Дональда Трампа для зусиль щодо конфіденційності. Його передвиборча платформа не згадує цю тему, але зобов’язується масової депортації іммігрантів і скорочення правил, що свідчить про те, що уряд буде основним споживачем даних про місцезнаходження та не буде схильний обмежувати їх збір. Прес-секретарі Трампа не відповіли на запитання, надіслані електронною поштою.

Регулятори не чекають, щоб дізнатися. Бюро споживачів Чопра у вівторок запропонувало обмежити продаж конфіденційних, але нефінансових даних , таких як соціальне страхування, номери телефонів і вуличні адреси, так само, як обмежено кредитну історію та історію зарплат. Згідно з новими правилами, їх не можна було продавати для маркетингу, а лише для затверджених цілей, таких як перевірка досвіду роботи, потреби правоохоронних органів або підтвердження особи.

«Це правило забороняє зловживання нашими конфіденційними особистими ідентифікаторами», — сказав Чопра.

Фінансові дані, такі як рівень доходів, також отримають більший захист, оскільки брокери зобов’язані надавати споживачам доступ і право видаляти неточну інформацію, так само як і великі кредитні бюро. Тепер до правил набирають чинності протягом трьох місяців.

Сенатор Рон Вайден (штат Орегон), який роками домагався дії CFPB, сказав, що він стурбований перспективами виживання за нової адміністрації. «На жаль, завершити це буде CFPB Трампа», — сказав він.

Зі свого боку, Федеральна торгова комісія у вівторок оприлюднила домовленості з двома великими брокерами даних, заборонивши їм продавати конфіденційні дані про місцезнаходження користувачів. Агентство було уповноважено нещодавнім рішенням судді про те, що необережне поводження з конфіденційними даними може вважатися нечесною торговою практикою.

А Міністерство юстиції, яке раніше звинуватило трьох брокерів даних у навмисному продажу списків уразливих людей похилого віку оманливим маркетологам, висуває правила, спрямовані на те, щоб країни-суперниці не могли отримувати дані про людей, які служать в армії США за кордоном. Дослідники змогли ідентифікувати війська за переміщенням їхніх пристроїв або за даними про особливі інтереси для маркетингу, а інші країни використовували викрадені дані для ідентифікації таємних агентів розвідки.

Такі адміністративні та судові заходи відбуваються на тлі браку федерального законодавства про конфіденційність, яке зазнало невдачі в основному через те, що республіканці та демократи не дійшли згоди щодо того, що в нього включити. Конгрес, де домінують республіканці, до складу якого входять члени, стурбовані стеженням уряду, може бути в кращому становищі, щоб щось прийняти. У той час як деякі штати ухвалили закони, які спеціально захищають інформацію, яка може виявити відвідувачів постачальників абортів , республіканці висловили занепокоєння щодо даних про поліцейських та інших. Зокрема, представник Гас М. Біліракіс (республіканець Флорида) підтримав національний стандарт прав на конфіденційність як оплот проти великих технологічних компаній, а голова Комітету з енергетики та торгівлі Палати представників Кеті Макморріс Роджерс (республіканець Вашингтон) була головним його прихильником. компромісного законодавства.

Кеті Макморріс Роджерс (R-Вашингтон) допитує керівника UnitedHealth Group, який давав свідчення в травні перед комітетом Палати представників, який розглядає кібератаку, спрямовану на Change Healthcare. (Метт Макклейн/The Washington Post)

Навіть якщо все це та багато іншого станеться — і погроза радника Трампа Ілона Маска знищити CFPB залишиться нереалізованою — тепер доступно так багато даних про таку кількість людей, що будь-які дії уряду, ймовірно, матимуть обмежений ефект.

Сам Солтані, колишній технолог FTC і широко визнаний експерт з конфіденційності, ледь не потрапив на одну зі схем, проти якої він працював.

Людина, яка дзвонила з номера служби підтримки Google, попередила чиновника Каліфорнії, що хтось може намагатися заволодіти його обліковим записом електронної пошти, додавши новий номер для відновлення. Він повідомив Солтані свій попередній номер для відновлення та запитав, чи нещодавно доданий номер є законним. Коли Солтані відповів «ні», абонент створив заявку для проблеми та надіслав Солтані електронний лист, щоб підтвердити, що він контролює обліковий запис. Потім він сказав, що надішле код на телефон Солтані, щоб переконатися, що він контролює правильний номер для відновлення, і попросить його перечитати його.

Хоча він вірив, що ця людина намагалася йому допомогти, Солтані сказав йому, що ніколи нікому не повторював одноразові коди. Згодом шахрай відключився. Лише тоді Солтані зібрав речі разом — крихітна затримка перед кожним розмовою абонента була, ймовірно, через переклад тексту в мову за допомогою ШІ; Справжній номер телефону та електронна адреса Солтані були отримані з бази даних або витоку; і одноразовий код передав би його обліковий запис шахраю.

Ашкан Солтані, праворуч, виконавчий директор Каліфорнійського агентства із захисту конфіденційності, готується виступити як незалежний дослідник під час слухань на Капітолійському пагорбі в 2011 році. (Brendan Smialowski/Bloomberg/Getty Images)

Страшні історії заполонили бюро споживачів від жертв переслідування та тих, хто не може зробити великі покупки через шахрайство, вчинене з використанням їхніх імен та особистих даних. В інших випадках море загальнодоступних даних дозволяло хакерам атакувати особисті онлайн-акаунти керівників, які вони могли використовувати для проникнення в корпоративні мережі, сказав Марк Везерфорд з Gretel, який консультує десятки охоронних компаній і був першим лідером у сфері кібербезпеки. в Департаменті внутрішньої безпеки.

«Атаки, які колись були трудомісткими та вимагали ретельного та трудомісткого ручного дослідження, тепер можуть швидко й точно здійснюватися злочинцями, які використовують машинне навчання для збирання інтимних деталей із величезних онлайн-баз даних», — сказав Везерфорд. ШІ також використовується, щоб видати себе за голоси керівників, щоб ввести в оману колег.

Агентство Солтані готується застосувати каліфорнійський закон, згідно з яким споживачі можуть, починаючи з 2026 року, наказати агентству наказати всім брокерам комерційних даних, зареєстрованим у штаті, видалити деякі дані про них, замість того, щоб звертатися до кожного окремо. Брокери даних все ще зможуть продавати інформацію, пов’язану із запобіганням шахрайству. Це положення є одним із найжорсткіших законів про конфіденційність даних у 19 штатах і стане першим у своєму роді, яке набуде чинності.

Одним з ключових аргументів, який індустрія посередництва в роботі з даними висунула в боротьбі проти цих законів, є те, що цей сектор має право на свободу слова надавати інформацію, яка є загальнодоступною, але невідомою. Цей захист отримав удар у справі, яка розглядалася уважно, минулого тижня, коли федеральний суддя постановив, що права брокерів не були порушені законом Нью-Джерсі, який вимагає видаляти домашні адреси суддів і поліцейських, які цього вимагають.

Солтані сказав, що він сподівається, що закони штату можуть призвести до сильної національної практики конфіденційності, так само, як реєстр «Не дзвонити» у Флориді врешті-решт став національним, навіть якщо запропоновані нові правила споживчого бюро зазнають невдачі.