Europcar nega violação de dados de 50 milhões de usuários, diz que os dados são falsos
1 de Fevereiro de 2024

A empresa de aluguel de carros Europcar diz que não sofreu uma violação de dados e que os dados de clientes compartilhados são falsos, após um agente de ameaças alegar estar vendendo as informações pessoais de 50 milhões de clientes.

No domingo, uma pessoa alegou estar vendendo os dados de 48.606.700 clientes da Europcar.com em um popular fórum de hacking.

A postagem incluía exemplos dos dados roubados de 31 supostos clientes da Europcar, incluindo nomes, endereços, datas de nascimento, números de carteira de motorista e outras informações.

No entanto, após entrar em contato com a Europcar ontem à noite, o BleepingComputer foi informado de que a violação era falsa e que os dados foram fabricados usando inteligência artificial.

"Depois de ser notificado por um serviço de inteligência de ameaça de que uma conta finge vender dados da Europcar na darknet e após verificar cuidadosamente os dados contidos na amostra, temos certeza de que este anúncio é falso:
- o número de registros está completamente errado e inconsistente com o nosso,
- os dados de amostra provavelmente foram gerados pelo ChatGPT (endereços não existem, códigos postais não correspondem, nome e sobrenome não correspondem aos endereços de e-mail, os endereços de e-mail usam TLDs muito incomuns),
- e mais importante: nenhum desses endereços de e-mail está presente em nosso banco de dados."

Como explica Troy Hunt do Have I Been Pwned, embora grande parte dos dados seja claramente falsa, ele não acredita que tenha sido criada usando inteligência artificial.

Hunt apontou que os endereços de e-mail não correspondem aos nomes de usuário.

Por exemplo, todos os nomes de usuário contêm um primeiro ou último nome, mas nenhum corresponde ao nome completo listado nos dados.

O segundo indicador de que os dados são falsos é que os endereços simplesmente não existem.

Por exemplo, dois dos registros de clientes listados usam as cidades inexistentes de "Lake Alyssaberg, DC" e "West Paulburgh, PA".

Outro indicador é que os endereços e números de telefone são para regiões nos EUA, mas muitos dos e-mails associados são de outros países.

Enquanto a Europcar disse ao BleepingComputer que acreditam que esses dados foram criados usando IA, Hunt aponta que alguns dos endereços de e-mail são reais, aparecendo em violações de dados anteriores monitoradas pelo Have I Been Pwned.

Em vez disso, Hunt acredita que a menção à inteligência artificial é apenas uma resposta calorosa baseada na popularidade do assunto e não estava envolvida na criação desses dados.

"Sempre tivemos violações fabricadas porque as pessoas querem atenção ou querem se fazer um nome ou talvez ganhar dinheiro rápido", explica Hunt.

"Quem sabe, não importa, porque nada disso o torna 'IA' e buscar manchetes ou enviar spam com base nisso é simplesmente estúpido."

Como apontado pelo pesquisador de segurança NexusFuzzy, existem projetos que permitem a qualquer um criar dados que pareçam quase exatamente como os compartilhados nas amostras de violação de dados falsos.

Enquanto os atores de ameaças já usam a inteligência artificial como parte de seus golpes e ataques, e provavelmente expandirão seu uso no futuro, esse incidente não parece ser um deles.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...