Tim Pritlove
đ€ SpeakerAppearances Over Time
Podcast Appearances
Die war auch verfĂŒgbar, hat sich die AI dann schön durchgelesen, mal durchanalysiert und festgestellt, okay, von den gut 200 Endpoints, die da sind, sind gut 10% nicht durch Zugangsregeln geschĂŒtzt.
Und dann hat die AI auch gleich angefangen, sich das doch mal genauer anzuschauen und ist da so iterativ vorgegangen und hat sich das also mal so angeklopft und geschaut, was spuckt denn das System raus.
Naja, lange Rede, kurzer Sinn.
Relativ schnell, also dieser ganze Prozess hat zwei Stunden gedauert und auf einmal war alles offen.
SQL-Injections wurden gefunden, mit pfiffigen Tricks wurde also dieses System ausgehebelt und auf einmal lag alles da.
Und was man dann offengelegt hat, war so deren Intranet, was halt nicht nur irgendwie eine Datenbank war, sondern selber auch ein AI-System.
Stellt sich raus, dass sie das also auf breiter Ebene intern zum Einsatz bringen und dort lag dann irgendwie alles rum.
46,5 Millionen Chatnachrichten, insgesamt 728.000 Dateien, also auch vertrauliches Zeug dabei.
57.000 Nutzerkonten und mehr als noch das, also auch diese ganzen Dokumente, interne Studien, also sozusagen einmal alles.
Das gesamte Wissen dieses Unternehmens, was sich in Daten abbildet, ĂŒber AI-Chatboards zugreifbar, die also offensichtlich von allen Mitarbeitern auf diese Art und Weise auch mit genutzt wird.
Aber dabei blieb es gar nicht mal.
Auch die ganzen Prompts, die ganzen System-Prompts, die Pri-Prompts, die in diesem System abgelegt sind, um dann das Verhalten dieser ganzen Chatboards, mit denen man dann agiert, die das bestimmen, waren halt auch offen und zwar nicht nur lesbar, sondern auch schreibbar.
Mit anderen Worten, dieses System hÀtte nach zwei Stunden den gesamten Modus Operandi von McKinsey quasi umstellen können.
Da hĂ€tte man auch mal was Gutes tun können fĂŒr die Welt.
Guck mal nicht immer nur aufs Geld, schau doch mal, dass da auch sozial was drauf kommt.
Also da waren halt viele klassische Fehler gemacht worden, aber das Kernproblem jetzt an dieser Stelle ist, wĂ€hrend es frĂŒher ausfĂŒhrliche Hackerskills brauchte, brauchst du jetzt die zwar auch noch in gewisser Hinsicht, aber auch vieles davon lĂ€sst sich jetzt auch schon automatisieren.
Und wenn ich das richtig sehe, beflĂŒgelt von dieser Meldung, habt ihr dann auch gleich zugeschlagen.
Der, der jetzt hier angegriffen hat oder das, was da innerhalb von McKinsey lÀuft?
So wie hier.
Exploits of a Mum.