Autoverhuurbedrijf Europcar zegt dat er geen sprake is van een datalek en dat de gedeelde klantgegevens op het dark web verzonnen zijn. De dader zou ChatGPT gebruikt hebben om deze data te verzinnen. Cybersecurityspecialist Troy Hunt gelooft niet dat kunstmatige intelligentie een rol heeft gespeeld in deze kwestie.
Dat vertelt Europcar in een reactie aan BleepingComputer (1)
Afgelopen zondag plaatste iemand een bericht op een hackersforum op het dark web waarin hij beweerde de persoonlijke gegevens van 48.606.700 Europcar-klanten te verkopen. Naar verluidt ging het om onder meer namen, woonadressen, postcodes, geboortedata, rijbewijzen, bankrekeningnummers, gebruikersnamen en wachtwoorden. Om dit te bewijzen publiceerde hij de gegevens van 31 klanten.
BleepingComputer vroeg Europcar om een reactie. De autoverhuurder zegt dat het datalek nep is en dat de klantgegevens verzonnen zijn met behulp van kunstmatige intelligentie. Het bedrijf noemt drie redenen waarom ze ervan overtuigd is dat het lek een zwendel is.:
Het aantal vermeldingen op het dark web is verkeerd en inconsistent met dat van Europcar;
Uit een steekproef blijkt dat adressen die de aanbieder noemt niet bestaan. Ook komen postcodes niet overeen met adressen en steden, komen voor- en achternaam niet overeen met genoemde e-mailadressen en de e-mailadressen gebruiken ongebruikelijke internetdomeinnamen (TLD’s). Dat houdt in dat de gegevens hoogstwaarschijnlijk zijn verzonnen door ChatGPT; en
Geen van de genoemde e-mailadressen komt momenteel voor in de database van Europcar.
De Australische cybersecurityexpert Troy Hunt is ervan overtuigd dat een groot deel van de gepubliceerde persoonsgegevens nep zijn. Hij is er echter niet van overtuigd dat deze data gemaakt zijn door kunstmatige intelligentie. In een draadje op X gaat hij daar dieper op in (2).
Hunt stelt dat de e-mailadressen niet overeenkomen met de gebruikersnamen. Alle gebruikersnamen bevatten bijvoorbeeld een voor- of achternaam, maar geen enkele komt overeen met de volledige naam in de gegevens. In de tweede plaats worden er adressen genaamd die simpelweg niet bestaan. En ten derde worden er veel Amerikaanse woonadressen en telefoonnummers genoemd, maar de bijbehorende e-mailadressen zijn van andere landen.
De beveiligingsspecialist wijst erop dat sommige e-mailadressen echt zijn en genoemd worden in eerdere datalekken die in ‘Have I Been Pwned’ zijn opgenomen. De klantgegevens die op het dark web te vinden zijn, zijn volgens hem waarschijnlijk dummy data die met behulp van een datagenerator zijn gemaakt.
Dat kunstmatige intelligentie als boosdoener genoemd wordt in deze zaak, is volgens Hunt het gevolg van de populariteit van AI. Het feit dat sommige hackers en cybercriminelen gebruikmaken van kunstmatige intelligentie voor hun oplichtingspraktijken, en dat dit in de toekomst waarschijnlijk zal toenemen, is dat nog geen bewijs dat daar hier sprake van is (3).
“We hebben al sinds mensenheugenis last van verzonnen datalekken omdat mensen naamsbekendheid zoeken of snel geld willen verdienen. Wie weet, het maakt niet uit, want niets daarvan maakt het ‘AI’, en op basis daarvan krantenkoppen verzinnen of spamachtige pitches versturen, is ronduit dom”, aldus Hunt.
https://www.bleepingcomputer.com/news/security/europcar-denies-data-breach-of-50-million-users-says-data-is-fake/
Alright folks, this is starting to smell like bullshit. Not the alleged breach (which smells bad for reasons I'll explain in a moment), but the "AI" line from both Europcar and the PR agency that just emailed me pitching someone's hot take on it. Here's why: https://t.co/0Gwfom2Cgd
— Troy Hunt (@troyhunt) January 31, 2024
https://www.vpngids.nl/nieuws/chatgpt-faciliteert-cybercrime-meer-cyberaanvallen-verwacht/