⚠️ Eurostar обвинил хакеров в шантаже

ИБ-исследователи обнаружили критические уязвимости в ИИ-чат-боте Eurostar, но вместо благодарности получили обвинения в шантаже.

Чат-бот оператора высокоскоростных поездов Eurostar оказался уязвим к prompt-инжектам и HTML-инъекциям. Эксперты Pen Test Partners обошли защиту, отредактировав предыдущие сообщения в чате — бот проверял только последнее. Так им удалось извлечь системные промпты и выяснить, что используется GPT-4. Уязвимости позволяли внедрять фишинговые ссылки и атаковать чужие диалоги через подмену ID.

Компания проигнорировала первое уведомление ещё в июне 2025 года. Лишь после личного сообщения в LinkedIn и напоминаний представители Eurostar ответили, заявив, что «нет записей о багах», и посоветовали использовать программу по раскрытию уязвимостей — которую исследователи уже использовали. Позже Eurostar удалил старую форму отчётов, потеряв часть данных.

#ai_security #pentest #prompt_injection #chatbot #bugbounty #cybersecurity