TOP5 | 头条：ChatGPT Plus服务存在BUG：支付页面随机曝光用户注册邮箱

ChatGPT Plus服务存在BUG：支付页面随机曝光用户注册邮箱；

标签：ChatGPT，用户注册邮箱

国外网友 James Laidler 本周一尝试注册 ChatGPT Plus 服务的时候，发现 OpenAI 网站泄露了用户的电子邮件地址。

Laidler 于美国中部时间上午 10 点 36 分（北京时间 3 月 20 日晚上 23 点 36 分）注册 ChatGPT Plus 服务时出现错误，在多次刷新之后进入了到支付页面。但是页面显示的并非他的电子邮件地址。随后他再次刷新付款页面，要么遇到页面故障，要么随机显示某人的电子邮件地址。他表示：“我测试看到了 4 位用户的电子邮件地址，这分明是别人的联系方式”。IT之家访问 Reddit 和 Twitter，发现这个情况并非个例，自本周一开始就有用户反馈存在这个问题。

信源：https://www.ithome.com/0/681/119.htm

Forrester报告：欧洲零信任采用率很高；

标签：Forrester，欧洲，零信任

Forrester 最近发布的一份报告显示，超过三分之二的欧洲安全决策者已经开始制定零信任战略，而公共部门组织正处于领先地位。Forrester 的 Tope Olufon 表示，最近遭受漏洞攻击的组织比那些没有被破坏的组织更有可能踏上零信任之旅，但整个地区的态度仍然不同，零信任面临着许多文化和监管障碍高级分析师和报告作者。“零信任涉及大量监控，一些组织和文化可能对此不太友好，”Olufon 说。“因此，能够阐明你使用数据的目的、数据的处理方式以及你如何维护员工隐私对于实现有效的零信任非常重要。”Olufon 是安全风险领域的高级分析师，就如何最好地设定和实现安全目标向企业提供建议。他的研究重点是零信任、数字身份和电子签名以及托管检测和响应的现状和演变。

信源：https://www.inforisktoday.com/forrester-report-zero-trust-adoption-in-europe-high-a-21485

谷歌：训练聊天机器人Bard数据集不包含Gmail数据；

标签：谷歌，Bard数据集，Gmail数据

3月22日消息，微软研究院首席研究员凯特・克劳福德（Kate Crawford）近日发布推文，表示谷歌推出的聊天机器人 Bard 在训练的数据集上，调用了 Gmail 数据。

IT之家翻译该推文内容如下：“Bard 表示它的训练数据集包括 Gmail。我希望这个回复内容是错误的，否则谷歌就已经违法了”。对此谷歌的 Workspace 作出回应，表示 Bard 是一项早期实验，会犯错误——并确认该模型没有使用从 Gmail 收集的信息进行训练。

公司首席执行官桑德尔・皮查伊（Sundar Pichai）在当天发给全体员工的电子邮件中表示，“随着越来越多的人开始使用 Bard 并测试功能，他们会让我们感到惊讶，肯定会出错。但用户反馈对于改进产品和底层技术至关重要”。

信源：https://www.ithome.com/0/681/358.htm

拥有3700万用户的流媒体平台 Lionsgate 泄露用户数据；

标签：Lionsgate，用户数据

根据Cybernews的研究，娱乐业巨头Lionsgate公司泄露了用户的IP地址和他们在其电影流媒体平台上观看的内容的信息。

在调查过程中，我们的研究人员发现，视频流平台Lionsgate Play通过一个开放的ElasticSearch实例泄露了用户数据。
Cybernews研究团队发现了一个未受保护的20GB的服务器日志，其中包含近3000万个条目，其中最早的是2022年5月。这些日志暴露了用户的IP地址、操作系统和网络浏览记录等用户数据。

研究人员还发现了记录在案的HTTP GET请求的不明哈希值，这是客户提出的请求的记录，通常用于从网络服务器获取数据：当这些请求被提出时，它们被存储在服务器的日志文件中。

Lionsgate娱乐公司，拥有几部获得全球认可的知名电影和电视特许经营权，包括《暮光之城》、《电锯惊魂》、《终结者》、《饥饿游戏》和《分歧者》系列。

虽然Netflix以超过2.3亿的用户数保持在所有流媒体平台的首位，但Lionsgate公司拥有超过3700万的全球用户，去年的收入为36亿美元。

在新冠疫情的影响下，在线流媒体平台的人气一直在增长。2022年，在美国，视频点播平台的订阅率达到83%，在8年间增长了30%以上。

但是，随着平台上用户数量的增加，它们正成为网络犯罪分子的目标。即使是轻微的安全漏洞也可能造成严重的损害，然而安全问题往往被忽视。

随着新的流媒体服务越来越多，我们可以看到，错误配置和数据泄露的风险也在增长。

在此次特定的案例中，泄露的信息通常不会在黑客社区中分享。尽管如此，它仍然是敏感的。这些被泄露的数据在有针对性的攻击中可能是有用的，特别是当与其他泄露的或公开的信息相结合时。

例如，用户的IP地址和设备数据的组合可以被恶意行为者利用，对他们进行有针对性的攻击，这样就可以向他们的设备提供恶意的有效载荷。

同时研究人员还表示：攻击者可以将用户的搜索查询和浏览的内容与他们的IP地址进行交叉对比，以建立一个更全面的个人档案。

最后，研究人员提醒道：随着使用数据的增加，攻击者可以确定行为模式，并可能利用这些信息来制作更准确、更有针对性的网络钓鱼攻击。

信源：securityaffairs.com/143886/security/lionsgate-data-leak.html