汽車酒精鎖公司遭網路攻擊，導致駕駛受困無法用車

美國執法部門本週瓦解了 Aisuru、Kimwolf、JackSkid 和 Mossad 殭屍網路，這是一系列網路犯罪工具，已感染全球超過 300 萬台設備（包括許多家庭網路內的設備），並被用於發動破紀錄的網路攻擊。與此同時，數億部 iPhone 目前正處於被一種名為 DarkSword 的新工具接管的風險中，俄羅斯駭客已利用該工具竊取受害者的數據。

Sears Home Services 的 AI 機器人 Samantha 的客戶服務通話與聊天記錄遭到洩露並可公開存取，直到一名研究人員舉報了此情況——這揭露了通話和聊天中的個人細節，在某些情況下，甚至包括客戶以為通話結束後似乎被額外記錄的數小時音訊。此外，《連線》（WIRED）雜誌審查了數十個包含「AI 人臉模特兒」招聘資訊的 Telegram 頻道。獲得這些工作的人大多是女性，且很可能被用作 AI 詐騙的門面，以竊取受害者的錢財。

Meta 最近宣布，由於功能採用率低，將於 5 月 8 日取消 Instagram Direct Messages 的端到端加密保護。該公司長期以來一直承諾將此保護作為 Instagram 聊天的預設設置，專家擔心這種「掛羊頭賣狗肉」的行為可能會在科技行業樹立危險的先例。不過，在另一則 Meta 加密新聞中，Signal 創始人 Moxie Marlinspike 本週宣布，他將與這家科技巨頭合作，以某種形式將他的加密 AI 平台 Confer 整合到 Meta AI 中。

還有更多消息。每週，我們都會彙整我們未深入報導的安全與隱私新聞。點擊標題閱讀完整故事。請注意安全。

汽車酒精鎖公司遭網路攻擊 導致駕駛受困

想像一下要如何向你的老闆解釋這件事：你無法去上班，因為法院強制安裝的酒精鎖不讓你啟動車輛——你發誓這不是因為你喝了酒，而是因為那個偵測酒精蒸氣的設備因製造公司遭受網路攻擊而失效了。

Intoxalock 是一家汽車酒精鎖製造商，該公司聲稱全美每天有 15 萬名駕駛使用其產品。該公司本週報告稱其成為網路攻擊的目標，根據其網站發布的公告，導致其「系統目前正經歷停機」。與此同時，使用該酒精鎖的駕駛報告稱，由於設備無法連接到公司的服務，他們被困在原地。「由於非我們的過錯，我們的車輛現在變成了巨大的紙鎮，」一位用戶在 Reddit 上寫道。「我在工作上被追究責任，感到完全無助。」

鎖定情況似乎是源於 Intoxalock 的酒精鎖需要定期校準，而這需要連接到公司的伺服器。需要進行校準但因公司停機而無法執行的駕駛因此受困，儘管該公司現在在其網站上表示，由於網路安全中斷，它將為這些校準提供 10 天的延期，並在某些情況下提供拖車服務。目前，Intoxalock 尚未解釋其面臨的是何種網路攻擊，也未說明駭客是否已獲取該公司的任何用戶數據。

FBI 購買手機定位數據以追蹤美國人

早在 2023 年 3 月，聯邦調查局（FBI）局長 Christopher Wray 首次證實，該機構購買了美國手機定位數據。Wray 當時表示，雖然 FBI 此前曾向商業數據經紀商購買手機數據（而非尋求搜查令），但已經停止了這種做法。「這已經有一段時間沒有運作了，」Wray 聲稱。轉眼三年過去，FBI 再次購買可用於追蹤美國人的定位數據。

在週三的參議院聽證會上，FBI 局長 Kash Patel 證實，該機構正在購買「市售資訊」，他聲稱這「符合憲法」和其他法律。「這為我們帶來了一些有價值的情報，」Patel 說。這種做法涉及 FBI 向商業數據經紀商購買資訊，這些經紀商出售大量數據，包括由嵌入應用程式中的廣告技術所收集的手機定位資訊。

2018 年，美國最高法院加強了第四修正案的保護，裁定政府需要獲得搜查令才能追蹤美國人的手機。然而，自那以後，政府機構越來越多地利用商業數據經紀商來獲取可用於監控人員行動的資訊。「在沒有搜查令的情況下這樣做是對第四修正案令人震驚的規避。考慮到使用人工智慧來梳理大量的私人資訊，這尤其危險，」美國參議員 Ron Wyden 在週三的聽證會上表示。上週，Wyden 和參議員 Mike Lee 向國會提交了一項跨黨派法案，旨在阻止政府機構求助於商業數據經紀商。

FBI 表示：伊朗駭客攻擊「擾亂」了馬里蘭州醫院的緊急醫療服務

本週在馬里蘭州地方法院公布的法院文件顯示，馬里蘭州的醫院和緊急醫療服務受到了與伊朗有關的醫療技術公司 Stryker 遭駭事件的影響。一份用於扣押 Handala 駭客組織所使用的四個網域的 FBI 宣誓書指出，該組織在 3 月初對 Stryker 發動的網路攻擊導致「一些醫院」暫停了與未具名醫療系統的連接。「臨床醫生被指示依賴無線電諮詢和口頭描述，」一份未指名受影響具體系統或醫院的刪節文件寫道。「這種對必要臨床通訊系統的干擾表明，網路攻擊……在某些情況下干擾了馬里蘭州醫院緊急醫療服務的提供。」

自 2 月底美以對伊朗戰爭開始以來，Handala 駭客組織對 Stryker 的攻擊一直是研究人員發現的最高調的報復性網路攻擊，據報導導致數千台設備癱瘓。作為回應，FBI 和司法部週四宣布已扣押該組織使用的四個網域，並詳細說明了該組織如何向美國境內的「伊朗異議人士和記者」發送「死亡威脅」郵件。

AI 代理程式出錯引發 Meta 安全事件

代理型 AI 工具具有改變公司效率的潛力，但也可能犯下代價高昂且危險的錯誤。科技新聞媒體《The Information》本週報導稱，一名 Meta 員工使用的一個 AI 代理程式引發了一起安全事件，將公司和用戶數據暴露給了不應擁有存取權限的員工。一名員工指派該代理程式分析另一名員工發布在內部論壇上的技術問題。但在用戶的批准下，該代理程式也發布了該問題的答案，其中包含錯誤資訊。據報導，發布問題的員工隨後遵循了該錯誤建議，導致違反了公司的數據保護協議，將「大量」公司數據暴露給了未經授權的用戶。據悉，該事件嚴重到足以觸發「Sev1」警報，這是 Meta 用於標記安全事件的第二高嚴重等級。