北京時間2月27日,據《華爾街日報》報道,迪士尼員工馬修·范·安德爾(Matthew Van Andel)因為下載AI工具遭到黑客入侵,導致公司內部信息以及安德爾的信用卡賬號等個人財務信息泄露,自己也被解僱。
被黑
去年7月,有個陌生人在網上通過聊天平台Discord給安德爾發消息。這個人對他很了解,就連幾天前他和迪士尼同事一起吃午餐的細節都知道。
他快速回想最近發生的事情,想弄清楚哪裏出了問題。他知道,迪士尼以外的人無法獲得這些信息。那個在Discord上給他發信息的人,是如何知道他在公司Slack內部頻道中說的話的呢?
「我已經獲取了與你的個人和工作生活相關的某些敏感信息。」該陌生人在另一條Discord信息中說。安德爾意識到自己被黑了。
第二天早上,來自迪士尼內部Slack頻道的逾4400萬條消息被一個動機不明的神秘黑客組織發佈到了網上,其中就包括安德爾在Slack上與同事交流的午餐信息。這個黑客組織使用安德爾的登錄憑據從迪士尼那裏盜取了數據。
這次黑客攻擊促使迪士尼網絡安全團隊迅速行動以評估損失。迪士尼的私人客戶信息、員工護照號碼以及主題公園和流媒體收入數字都因為此次數據泄露事件而暴露。
一次不小心的下載毀了安德爾的生活
Nullbulge在博文中介紹對迪士尼的攻擊
生活被毀
它也打亂了安德爾的正常生活。黑客竊取了他的信用卡號碼和堆積如山的賬單,泄露了他的賬戶登錄信息,包括財務賬戶登錄信息。黑客還把安德爾的個人信息發佈在了網上,從社保賬號到可以用來訪問家中Ring攝像頭的登錄憑證。
「很難表達那種被侵犯的感覺。」42歲的安德爾說,他有兩個兒子。
幾周後,安德爾還丟掉了工作。在對安德爾的工作電腦進行取證分析後,迪士尼解僱了他,理由是發現他利用工作電腦看色情內容。安德爾則否認在工作電腦上看色情內容。
迪士尼發言人在一份聲明中稱:「安德爾聲稱他沒有從事導致他被解僱的不當行為,這一說法遭到了公司對其工作電腦審查結果的堅決駁斥。」
安德爾在家用電腦中查看黑客發來的郵件
去年8月,迪士尼監管文件中表示公司正在調查此事件,並預計這一事件不會對其運營或財務表現產生重大影響。迪士尼在黑客攻擊後告知員工,計劃逐步放棄使用Slack,以簡化其協作工具。
AI工具惹的禍
安德爾的這場噩夢始於去年2月份。當時,他在家用電腦上嘗試使用一些新的AI技術,並從熱門代碼共享網站GitHub上下載了免費軟件。該軟件可幫助他根據文本提示生成AI圖像。
雖然它確實有用,但這個AI助手實際上是惡意軟件,能夠讓黑客能夠訪問他的計算機以及他整個數字生活。
黑客獲得了1Password和「會話cookie」的訪問權限。1Password是安德爾用來存儲密碼和其他敏感信息的密碼管理器。會話cookie是存儲在他電腦上的數字文件,允許他訪問包括迪士尼Slack頻道等在線資源。
安德爾在7月11日周四吃午餐時發現了這個問題,當時他看到了來自陌生人的Discord消息。
他以為這是騙局,差點刪除了它,但繼續看下去後,他發現了消息中有他在迪士尼Slack頻道中的原話。
安德爾孩子的賬戶也被黑客劫持
安德爾聯繫了迪士尼的「應急反應小組」(fire team),這是一個專門快速應對網絡安全威脅的團隊。該團隊確認了他的Slack賬戶被入侵,但沒有在他的公司筆記本電腦上發現任何可疑跡象,並告訴他檢查個人設備。
他的電腦上的殺毒軟件沒有發現任何問題,但他安裝的第二個殺毒軟件幾乎立即找到了惡意軟件。
名為Nullbulge的黑客自稱是俄羅斯黑客組織成員,他已經潛伏在安德爾的電腦上五個月時間。安全研究人員認為,Nullbulge很可能是一個人,並且是美國人。
當安德爾與迪士尼反應小組通話時,該黑客向他發了一封電子郵件,明確表示他可以訪問安德爾的個人電子郵件賬戶。他抱怨安德爾l將他的第一封郵件標記為垃圾郵件,並且把第二封郵件扔進了垃圾箱。黑客警告說,他的行動將進入一個新階段。
「回應我們,照我們說的做,或者你的信息就會發佈在網上。」該黑客說。
據安德爾所知,黑客只有一種方式可以訪問他的電子郵件:1Password,也就是他用來保護數字生活的軟件。
此外,他孩子的Roblox遊戲賬戶也被劫持。他的社交媒體賬戶也被陌生人使用泄露的憑證發佈了眾多攻擊性語言。
精神受影響
這件事後,安德爾幾乎不睡覺也不吃飯,還患上了恐慌症。在他報案後不久,黑客就將他的個人信息發佈到了網上。他開始接到媒體的電話,還收到陌生人打來的恐嚇電話和短訊。
這場磨難發生11天後,迪士尼人力資源部的一名代表打來電話說,根據公司對其筆記本電腦的檢查結果,安德爾被解僱了。「我才是黑客攻擊的受害者。」他對迪士尼人力資源部代表這麼說道。
他的醫保被停了,還失去了大約20萬美元的獎金。
安德爾正努力恢復自己的生活。他找到了一些合同工工作來支付賬單,他的姐姐也為他發起了GoFundMe籌款活動來幫助支付開銷。
去年12月19日,他的律師向迪士尼發出了一封索賠信,要求賠償八位數的工資損失和精神損失。
安德爾表示,他仍然能在網上看到有人在試圖利用Nullbulge發佈的被盜憑證侵入他的賬戶。
