Dimanche, un utilisateur d’un forum de piratage bien connu a annoncé ce qu’il prétendait être un cache de données volées au géant de la location de voitures Europcar. L’utilisateur a affirmé avoir volé les informations personnelles de plus de 48 millions de clients Europcar et a déclaré qu’il « écoutait les offres » pour vendre les données piratées.
Sauf que les données semblent entièrement inventées – peut-être créées avec ChatGPT, selon Europcar.
Le porte-parole d’Europcar, Vincent Vevaud, a déclaré à TechCrunch que la société avait enquêté sur la violation présumée après qu’un service de renseignement sur les menaces l’ait alerté de la publicité du forum.
« En vérifiant minutieusement les données contenues dans l’échantillon, nous sommes convaincus que cette publicité est fausse », a déclaré Vevaud dans un courrier électronique, ajoutant :
– Le nombre d’enregistrements est complètement faux et incompatible avec le nôtre,
– Les exemples de données sont probablement générés par ChatGPT (les adresses n’existent pas, les codes postaux ne correspondent pas, le prénom et le nom ne correspondent pas aux adresses e-mail, les adresses e-mail utilisent des TLD très inhabituels),
– Et surtout, aucune de ces adresses email n’est présente dans notre base de données clients.
L’utilisateur du forum de piratage a déclaré à TechCrunch lors d’un chat en ligne que « les données sont réelles », sans étayer cette affirmation par aucune preuve.
Dans le message du forum, l’utilisateur a affirmé que les données comprenaient des noms d’utilisateur, des mots de passe, des noms complets, des adresses personnelles, des codes postaux, des dates de naissance, des numéros de passeport et des numéros de permis de conduire, entre autres données.
L’échantillon de données mis en ligne ne semble cependant pas légitime, non seulement selon Europcar, mais aussi selon Troy Hunt, qui gère le service de notification de violation de données Have I Been Pwned, ainsi qu’une analyse TechCrunch des données. .
« Premièrement, en ce qui concerne la légitimité des données, beaucoup de choses ne collent pas. Le plus évident est que les adresses e-mail et les noms d’utilisateur ne ressemblent en rien aux noms des personnes correspondantes. » Hunt a écrit sur X (anciennement Twitter.)
Hunt a également ajouté que bon nombre des adresses personnelles présumées sont fausses et « n’existent tout simplement pas ».
L’utilisateur du forum n’a pas répondu lorsqu’on lui a demandé d’expliquer les observations de Hunt.
Dans le même temps, Hunt est également sceptique quant au fait que les données aient été créées avec ChatGPT.
« Nous avons fabriqué des brèches depuis toujours parce que les gens veulent du temps d’antenne, se faire un nom ou peut-être gagner rapidement de l’argent. Qui sait, cela n’a pas d’importance, car rien de tout cela n’en fait une « IA » », a écrit Hunt.
Vevaud d’Europcar n’a pas immédiatement répondu aux questions sur la manière dont l’entreprise a déterminé que les données avaient été générées avec ChatGPT.
Lorsque TechCrunch a demandé à ChatGPT de créer « un ensemble de données de fausses données personnelles volées », le chatbot a répondu qu’il ne pouvait pas aider « à créer ou à promouvoir des activités illégales ou contraires à l’éthique ».
Bien qu’il soit presque impossible d’établir avec certitude que les fausses données ont été créées avec ChatGPT ou une plate-forme d’IA de génération de texte similaire, il est possible qu’un jour des pirates utilisent ces outils pour créer de grands ensembles de fausses données.