三星公司因ChatGPT造成数据泄露？

Posted 2023-04-07 极安御信安全研究院

作者丨黑蛋

ChatGPT大家最近应该都听过很多，关于各种ChatGPT消息铺天盖地，将会取代大部分人工，ChatGPT代替创作，绘画，很多公司因此裁员等消息多不胜数，甚至短短几个月，ChatGPT升级版ChatGPT4就横空出世，可谓风头无两。各大公司纷纷接入ChatGPT，结果出了下面这档事：

标题为：三星被曝因ChatGPT泄露芯片机密！韩媒惊呼数据「原封不动」直传美国，软银已禁止员工使用。

事情是这样的，三星引入ChatGPT不到20天，就发生了3起数据外泄事件，而其中2次和半导体设备有关，1次和内部会议有关，具体情况为：

2023年3月11日，三星的半导体事业暨装置解决方案事业部（DS）部门允许员工使用ChatGPT，随后20天内就发生了三起将公司内部半导体数据上传到ChatGPT的事件：其中，员工A用ChatGPT帮自己查一段代码的bug，而这段源代码与半导体设备测量数据有关；员工B想用ChatGPT帮自己优化一段代码，就直接将与产量和良品率记录设备相关的一段代码输入了其中；员工C则先用AI语音助手Naver Clova将自己的会议录音转成文字，再用ChatGPT帮他总结一下会议内容，做成摘要……目前，三星内部已经采取了“紧急措施”，限制与ChatGPT沟通的话题每个内容上传量不超过1024 bytes，还透露出要开发公司内部AI的意向。然而，同样值得注意的是，这些消息大多为韩国方面在跟进，OpenAI尚未回应。不过，在OpenAI上周更新的数据使用说明中确实有提到，对于非API产品如ChatGPT、DALL-E，平台确实会使用用户数据来进一步提升模型效果。

消息一出引发各大关注，韩版《经济学人》的文章中直接写到：这导致半导体设备测量资料，产品良率原封不动传输给了美国公司。

 

韩媒方面甚至表示，因为三星员工直接将企业机密信息以提问的方式输入到ChatGPT中，会导致相关内容进入学习数据库，从而可能泄漏给更多人。据三星表示，为了避免这种情况再次发生，他们已经告知员工谨慎使用ChatGPT。如果后面仍发生类似事故，将考虑禁止在公司内网上使用ChatGPT。

除此之外，意大利也因为某些原因禁用了ChatGPT，而后续包括德国等国家也有意限制或禁用ChatGPT，让我们拭目以待ChatGPT的未来！

如何让数据库安全无忧？

Verizon最新发布的《2015数据泄露调查报告》显示，500强企业中超半数曾遭受过黑客攻击。其中，来自中国的数据安全问题更加触目惊心。报告显示，特别容易遭受攻击的是一些掌握大量民众个人信息的通信运营商、互联网应用、金融等领域的公司。

保护数据库是保障数据安全最直接和有效的方式之一

数据一旦泄露出去，轻则让企业信息资产流失，企业声誉大打折扣，给企业造成无法挽回的后果；重则造成大量用户的经济损失，企业承担法律责任，甚至直接造成企业被迫倒闭。

数据安全是企业的生命线，迫在眉睫，而且不容忽视。众所周知，大部分数据都是存储在各类数据库当中，因此，要保障数据的安全，最直接有效的方式就是保障数据库的安全。

如何保护数据库安全？

通常情况下，我们通过及时告警、精准溯源、重要资产保护及报表分析四个步骤完成数据库安全的全面保护

　　深信服保障数据安全的重要里程碑：数据库安全审计系统发布

作为国内企业级网络安全和虚拟化的领先厂商，信服君认为保护企业数据安全是我们责任和使命。过去，我们将一些SQL注入、数据库漏洞、口令暴力破解等数据库安全功能集成在NGAF、IPS、WAF等产品/系统当中。现在，为了更好的保护数据库安全，信服君推出数据库安全审计系统产品，从数据库非法操作的告警与审计到数据库账号安全保障，再到安全策略的指导，全面保障企业用户的数据库安全：

l 更全面准确的数据库安全规则，及时告警并审计非法操作

深信服数据库安全审计系统具有几十种的数据库安全规则，包括业务系统使用grant、客户端sp_addrolemember 提权、web端sp_addrolemember提权、查询内置敏感表、篡改内置敏感表等，给数据库穿上防弹衣。

　　l 三层关联，保障非法操作的准确溯源

一般来说，在实际用户与数据库之间，往往隔着一个web系统。深信服数据库安全审计系统可以通过三层关联，将数据库的非法操作越过web系统，直接与非法用户关联起来，保障追溯定位效果。

　　l 账号安全保护，防止数据库暴库与撞库

数据库中最重要最有价值的一类数据就是用户的账号和密码，黑客获取账号密码最常用的方式是暴库和撞库，深信服数据库安全审计系统的账号安全功能，通过对用户账号认证过程进行基线建模，一旦出现暴库和撞库时间能够及时告警，保护数据库中账号资产安全。

l 丰富实用的报表，数据库安全风险可视、管理更简单：

深信服数据库安全审计系统具有十几种报表，从多种维度分析数据库的安全现状，如：数据库行为趋势报表、SQL响应性能分析报表、SQL语句失败排行报表、SQL语句吞吐量报表、登录失败排行报表等等，都能够为数据库安全策略优化提供更多的数据支撑。不仅如此，用户还可以自定义报表，直接进行拖拽组合，方便灵活，让数据库安全风险可视，让数据库安全管理更简单。

当然，数据安全是一场持久的战争，里程碑只能代表过去。未来，我们将结合网络现状与新技术趋势，完善数据安全体系，不断推出让数据更安全的产品和服务，敬请期待。