Privacy Daily

PRIVACYDAILY

aggiornato il

N. 198/2023

LE TRE NEWS DI OGGI:

  • USA, BIDEN EMETTE UN ORDINE SULLA SICUREZZA E LA PRIVACY DELLA AI
  • LASTPASS, DATA BREACH PERSI 4,4 MILIONI DI DOLLARI IN CRIPTOVALUTE IN UN SOLO GIORNO
  • INTESA TRA I PAESI DEL G7 SUL CODICE DI CONDOTTA DELL’AI

Il Presidente Joe Biden ha emesso un ordine esecutivo che stabilirà regole dettagliate per quanto riguarda la sicurezza dell’intelligenza artificiale e la privacy degli americani.Lunedì la Casa Bianca ha annunciato l’emissione di un ordine esecutivo per richiedere alle aziende e agli sviluppatori di IA di integrare nuove regole e pratiche per la tecnologia al fine di mantenerla sicura. L’ordine di Biden richiederà ai sistemi di IA più potenti di condividere con il governo i dettagli dei test di sicurezza e di sviluppare strumenti per garantire che il programma sia sicuro, protetto e affidabile.”Il Presidente Biden sta varando la più solida serie di azioni che qualsiasi governo al mondo abbia mai intrapreso in materia di sicurezza, protezione e fiducia nell’IA”, ha dichiarato in un comunicato il vice capo dello staff della Casa Bianca Bruce Reed. “L’ordine è un’ampia dimostrazione di potere con diverse conseguenze per le agenzie federali. Ad esempio, cerca di elaborare un Memorandum sulla sicurezza nazionale, che aiuterà il Consiglio di sicurezza nazionale e il capo dello staff della Casa Bianca a elaborare e indirizzare azioni specifiche su come le forze armate e le comunità di intelligence utilizzano l’IA.Il documento dà inoltre priorità al contributo federale per lo sviluppo di tecniche di protezione della privacy degli utenti durante la fase di addestramento dell’IA. Ciò include la revisione del modo in cui le agenzie raccolgono le informazioni disponibili in commercio.Il provvedimento chiederà inoltre alle agenzie federali di sviluppare pratiche e standard per aiutare a combattere chi utilizza la tecnologia per alimentare attacchi informatici e tentativi di frode, come ad esempio linee guida sull’autenticazione e sul watermarking per garantire che i contenuti siano identificati come generati dall’IA. Anche l’equità e i diritti civili saranno un’area su cui il provvedimento si espande, in quanto elabora i precedenti ordini esecutivi relativi alla discriminazione algoritmica fornendo ai programmi di benefici federali e agli appaltatori linee guida per garantire che l’IA non venga utilizzata per discriminare le persone nel processo decisionale. L’ordine affronterà anche la discriminazione algoritmica nei processi giudiziari e di applicazione della legge.Il provvedimento cercherà di far sviluppare alla Casa Bianca i principi e le migliori pratiche per affrontare l’effetto della tecnologia sulla forza lavoro, compresa l’eventuale sostituzione di posti di lavoro e il modo in cui l’IA potrebbe essere utilizzata per soddisfare esigenze particolari. Queste procedure saranno convertite in un rapporto sui potenziali impatti dell’IA sul mercato del lavoro.

Circa 25 persone avrebbero perso 4,4 milioni di dollari in criptovalute da un totale di 80 portafogli, il tutto a seguito della violazione dei dati del 2022 che ha colpito il software di archiviazione delle password LastPass.Il 27 ottobre, in un post su Twitter, gli investigatori della catena ZachXBT, insieme allo sviluppatore di MetaMask Taylor Monahan, hanno comunicato di aver tracciato il movimento di fondi da almeno 80 portafogli compromessi che sono stati presi di mira il 25 ottobre. Hanno anche menzionato che molte delle vittime erano utenti di LastPass di lunga data che avevano memorizzato le chiavi dei loro portafogli di criptovalute o sulla piattaforma. Questa violazione della sicurezza ha colpito LastPass dall’anno scorso e continua ad avere un impatto sui suoi utenti. A settembre è stato scoperto che almeno 35 milioni di dollari in criptovalute sono stati rubati a circa 150 vittime colpite dalla violazione della sicurezza della piattaforma, avvenuta nel 2022.LastPass è un popolare gestore di password progettato per proteggere le credenziali di accesso degli utenti. L’attacco ha comportato l’accesso non autorizzato agli account degli utenti, con particolare attenzione all’acquisizione di frasi seed e chiavi di wallet utilizzate per l’archiviazione delle criptovalute, indicando che i malintenzionati erano interessati principalmente all’esfiltrazione delle criptovalute. Tuttavia, in un post sul blog del dicembre 2022, LastPass ha rivelato che un aggressore ha utilizzato le informazioni rubate in precedenza per colpire un dipendente, ottenendo l’accesso alle sue credenziali e decriptando i dati dei clienti. L’attacco a LastPass ha permesso all’hacker di ottenere l’accesso al laptop aziendale di un ingegnere software della piattaforma, che gli ha fornito i mezzi per infiltrarsi nel sistema dell’azienda. Nel corso del processo, hanno rubato codice sorgente, documentazione tecnica riservata e segreti di sistema interni.Inoltre, è stato rubato un backup dei dati crittografati del caveau dei clienti, che potevano essere decifrati se l’aggressore riusciva a indovinare la password principale dell’account attraverso la forza bruta.Questa violazione iniziale ha permesso all’hacker di ottenere 14 dei 200 repository di codice sorgente di LastPass. Successivamente, l’hacker ha condotto un attacco più esteso, che ha portato all’acquisizione di una copia del database dei clienti di LastPass.


I leader del G7 hanno raggiunto un accordo sui principi guida internazionali sull’intelligenza artificiale e su un codice di condotta volontario per gli sviluppatori di IA nell’ambito del processo Hiroshima sull’IA. La Commissione europea, che ha contribuito alla loro elaborazione, ha accolto con favore l’intesa, specificando che i principi adottati e il codice di condotta, integreranno, a livello internazionale, le norme dettate nella legge europea sull’IA, in via di finalizzazione. Lo si legge in una nota dell’esecutivo comunitario. Gli undici principi guida, che insieme al codice di condotta saranno rivisti e aggiornati qualora necessario, forniscono indicazioni alle organizzazioni che sviluppano, distribuiscono e utilizzano sistemi avanzati di IA, come i modelli di fondazione e l’IA generativa, per promuovere la sicurezza e l’affidabilità della tecnologia. Le linee guida prevedono l’impegno a ridurre i rischi e gli abusi e a identificare le vulnerabilità, a incoraggiare una condivisione responsabile delle informazioni, a segnalare gli incidenti e a investire nella sicurezza informatica, nonché un sistema di etichettatura per consentire agli utenti di identificare i contenuti generati dall’IA.Questi principi, basati sui risultati di un’indagine condotta tra le parti interessate, sono serviti a loro volta come base per la compilazione del codice di condotta, che fornirà indicazioni dettagliate e pratiche per le organizzazioni che sviluppano l’IA. Il codice di condotta volontario promuoverà inoltre una governance responsabile dell’IA a livello globale. Per la presidente Ursula von der Leyen, tra i firmatari della dichiarazione dei leader del G7 rilasciata dalla presidenza giapponese del G7 per il 2023, i principi e il codice di condotta sull’IA “riflettono i valori dell’Ue per promuovere un’IA affidabile”. “Invito gli sviluppatori di IA a firmare e attuare il Codice di condotta il prima possibile” ha aggiunto, sottolineando il ruolo dell’Ue, “già all’avanguardia dal punto di vista normativo con la legge sull’IA”, nel “definire dei guardrail e una governance dell’IA a livello globale”. Il processo di Hiroshima sull’IA del G7 è stato istituito in occasione del vertice del 19 maggio 2023 per promuovere dei guardrail per i sistemi avanzati di IA a livello globale. L’iniziativa fa parte di una più ampia gamma di discussioni internazionali sui guardrail per l’IA, tra cui l’Ocse, il partenariato globale sull’intelligenza artificiale (Gpai) e nel contesto del Consiglio per il commercio e la tecnologia Ue-Usa e dei Partenariati digitali dell’Ue.

English version

  • USA, BIDEN ISSUES EXPANSIVE EXECUTIVE ORDER ON AI SECURITY AND PRIVACY
  • LASTPASS, DATA BREACH LOST 4.4 MILLION DOLLARS IN CRYPTOVALUES IN A SINGLE DAY
  • AGREEMENT AMONG G7 COUNTRIES ON AI CODE OF CONDUCT

President Joe Biden issued an executive order that will establish extensive rules with regard to artificial intelligence’s safety and Americans’ privacy.The White House announced on Monday that it was issuing an executive order to require AI companies and developers to incorporate new rules and practices for the technology to keep it safe. The order also strives to use AI as a more significant part of consumer protection, medical development, and other policies.Biden’s order will require the most powerful AI systems to share details about safety tests with the government and develop tools to ensure the program is safe, secure, and trustworthy.”President Biden is rolling out the strongest set of actions any government in the world has ever taken on AI safety, security, and trust,” White House Deputy chief of staff Bruce Reed said in a statement. “It’s the next step in an aggressive strategy to do everything on all fronts to harness the benefits of AI and mitigate the risks.”The order is a sweeping expression of power with several implications for federal agencies. For example, it seeks to develop a National Security Memorandum, which will help the National Security Council and White House chief of staff develop and direct specific actions on how the military and intelligence communities use AI.It also prioritizes federal support to develop techniques to protect user privacy while training AI. This includes reviewing how agencies collect information that is available commercially.The order will also have federal agencies develop practices and standards to help combat people using the technology to power cyberattacks and fraud attempts, such as guidelines around authentication and watermarking to ensure content is identified as AI-generated.Equity and civil rights will also be an area that the order expands on, as it elaborates on previous executive orders related to algorithmic discrimination by providing federal benefit programs and contractors guidelines on ensuring that AI is not used to discriminate against people in decision-making. It will also address algorithmic discrimination in the judicial and law enforcement process.The order will attempt to have the White House develop principles and best practices for addressing the technology’s effect on the workforce, including whether jobs are replaced and how it might be used to supplement particular needs. These practices will be converted into a report on AI’s potential labor-market impacts.

Around 25 individuals have reportedly lost $4.4 million in cryptocurrency from a total of 80 wallets, all due to the 2022 data breach that affected the password storage software LastPass.On October 27, in a Twitter post, the on-chain sleuths ZachXBT, along with MetaMask developer Taylor Monahan, reported that they’ve tracked the movement of funds from at least 80 compromised wallets that were targeted on October 25. They also mentioned that many of the victims were long-time LastPass users who had stored their cryptocurrency wallet keys or seeds on the platform.This security breach has been affecting LastPass since last year and continues to impact its users. In September, it was discovered that at least $35 million in cryptocurrency had been stolen from approximately 150 victims affected by the platform’s security breach that occurred in 2022.LastPass, in its usual function, is a popular password manager designed to secure users’ login credentials. The attack on it involved unauthorized access to user accounts, with a focus on obtaining seed phrases and wallet keys used for cryptocurrency storage, indicating that they were primarily interested in exfiltrating cryptocurrencies.However, in a blog post in December 2022, LastPass disclosed that an attacker had used previously stolen information to target an employee, gaining access to their credentials and decrypting customer data. The attack on LastPass allowed the hacker to gain access to the corporate laptop of a software engineer on the platform, which provided them with the means to infiltrate the company’s system. In the process, they stole source code, confidential technical documentation, and internal system secrets.Additionally, a backup of encrypted customer vault data was stolen, which could be decrypted if the attacker successfully guessed the account’s master password through brute force.This initial breach enabled the hacker to extract 14 of LastPass’s 200 source code repositories. Subsequently, the hacker conducted a more extensive attack, leading to the acquisition of a copy of the LastPass customer database.

G7 leaders have reached agreement on international guiding principles on artificial intelligence and a voluntary code of conduct for AI developers as part of the Hiroshima Process on AI. The European Commission, which contributed to their drafting, welcomed the agreement, specifying that the adopted principles and code of conduct will complement, at the international level, the rules laid down in the European AI law, which is currently being finalised. This was stated in a note by the EU executive. The eleven guiding principles, which together with the code of conduct will be reviewed and updated as necessary, provide guidance to organisations that develop, deploy and use advanced AI systems, such as foundation models and generative AI, to promote the security and reliability of the technology. The guidelines include a commitment to reduce risk and abuse and identify vulnerabilities, encourage responsible information sharing, incident reporting and investment in cybersecurity, as well as a labelling system to enable users to identify AI-generated content.These principles, based on the results of a stakeholder survey, in turn served as the basis for the compilation of the code of conduct, which will provide detailed and practical guidance for organisations developing AI. The voluntary code of conduct will also promote responsible AI governance globally. For President Ursula von der Leyen, one of the signatories of the G7 leaders’ declaration issued by the Japanese G7 presidency for 2023, the principles and code of conduct on AI “reflect the EU’s values for promoting trustworthy AI”. “I call on AI developers to sign and implement the Code of Conduct as soon as possible,” he added, emphasising the role of the EU, “already at the forefront of regulation with the AI Act”, in “defining guardrails and governance of AI globally”. The G7 Hiroshima Process on AI was established at the 19 May 2023 summit to promote guardrails for advanced AI systems globally. The initiative is part of a wider range of international discussions on guardrails for AI, including the OECD, the Global Partnership on Artificial Intelligence (Gpai) and in the context of the EU-US Trade and Technology Council and the EU Digital Partnerships.

Related posts:

  1. PRIVACYDAILY
  2. PRIVACY DAILY 109/2023
  3. PRIVACYDAILY
  4. PRIVACYDAILY