- Pen Test Partners encontraram falhas no chatbot de IA do Eurostar, incluindo validação fraca e injeção de HTML
- Eurostar afirma que os dados dos clientes nunca foram comprometidos; desde então, as fraquezas foram mitigadas
- Palo Alto alerta que a rápida adoção da IA está expandindo a superfície de ataque da nuvem por meio de configurações incorretas e identidades não humanas
O recentemente introduzido chatbot de atendimento ao cliente com tecnologia de IA da Eurostar estava repleto de vulnerabilidades de segurança cibernética que abriram a porta para muitos riscos potenciais, alertaram os especialistas.
Os pesquisadores do Pen Test Partners descobriram que o chatbot validava apenas as mensagens mais recentes de uma conversa, o que significa que mensagens antigas poderiam ser alteradas para conter um prompt malicioso. Este convite pode ser qualquer coisa, desde a revelação de informações do sistema até a infiltração de dados (potencialmente) confidenciais do cliente.
Felizmente, a Eurostar não tinha ligado a sua base de dados de informações de clientes ao chatbot, pelo que não havia risco direto de fuga de dados no momento da descoberta.
“Os clientes nunca estiveram em risco”
Os especialistas também encontraram outras vulnerabilidades no sistema, incluindo IDs de conversas e mensagens que não foram devidamente verificados ou um bug de injeção de HTML que permite que o JavaScript seja executado diretamente na janela de bate-papo.
Diz-se que os Pen Test Partners foram os primeiros a descobrir essas vulnerabilidades: “Nenhuma tentativa foi feita para acessar conversas ou dados pessoais de outros usuários”, explicaram os pesquisadores. “Mas as mesmas fraquezas de design podem se tornar muito mais sérias à medida que a funcionalidade do chatbot se expande”.
A Eurostar insistiu que os dados dos clientes nunca foram comprometidos, dizendo Prefeitura: “O chatbot não teve acesso a outros sistemas e, mais importante, nenhum dado sensível do cliente foi comprometido. Todos os dados são protegidos com o login do cliente.”
Muitas empresas estão correndo para implantar ferramentas de IA, mas a rápida adoção empresarial está expandindo significativamente a superfície de ataque da nuvem e colocando as empresas em maior risco do que nunca.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações nossas WhatsApp também
