Singaporeansk konsulentvirksomhed inden for cybersikkerhed Gruppe-IB har opdaget en alarmerende lækage af ChatGPT-logins.
Ifølge Group-IB blev mere end 101.134 enheder med gemte ChatGPT-loginoplysninger angrebet af info-stealere, en type ondsindet software, der er designet til at udtrække følsomme data. Fra loginoplysninger, bankdata, browserhistorik og meget mere udvinder informationstyve data og sender dem videre til deres bagmænd.
Group-IB's Threat Intelligence-platform identificerer kompromitterede ChatGPT-logins, der handles på markedspladser på det mørke web.
Bruddene toppede i maj, da 26.802 kompromitterede ChatGPT-konti dukkede op i dark web-logfiler. Asien-Stillehavsregionen stod for størstedelen af de lækkede data.
Group-IB har identificeret 101.134 #stealer-inficerede enheder med gemte #ChatGPT legitimationsoplysninger. Group-IB's Threat Intelligence-platform fandt disse kompromitterede legitimationsoplysninger i logfilerne fra informationsstjælende malware, der blev handlet på ulovlige markedspladser på det mørke web i løbet af det sidste år. pic.twitter.com/fNy6AngoXM
- Group-IB Threat Intelligence (@GroupIB_TI) 20. juni 2023
Hvorfor vil folk have ChatGPT-logins?
ChatGPT modtager dagligt kolossale mængder data, herunder personlige og forretningsmæssige oplysninger.
OpenAI advarer brugerne om ikke at dele følsomme og personlige oplysninger med AI'en, men det er svært, hvis man f.eks. bruger værktøjet til at generere et CV eller analysere interne virksomhedsoplysninger. Desuden gemmer AI'en som standard brugerinteraktioner og udskrifter, herunder potentielt følsomme data.
Group-IB siger, at cyberkriminelle grupper er blevet mere interesserede i potentialet i ChatGPT-logins, især når brugeren kan identificeres ud fra andre personlige oplysninger. Det er f.eks. meget muligt, at en virksomhedsdirektør deler følsomme oplysninger med ChatGPT, som kan bruges til hacking, løsepenge og anden kriminalitet.
Dmitry Shestakov, Head of Threat Intelligence hos Group-IB, siger: "Mange virksomheder integrerer ChatGPT i deres operationelle flow. Medarbejdere indtaster klassificerede korrespondancer eller bruger boten til at optimere proprietær kode. I betragtning af at ChatGPT's standardkonfiguration bevarer alle samtaler, kan dette utilsigtet tilbyde en guldgrube af følsomme oplysninger til trusselsaktører, hvis de får adgang til kontooplysninger. Hos Group-IB overvåger vi løbende undergrundssamfund for straks at identificere sådanne konti."
I lyset af disse sikkerhedstrusler råder Group-IB brugerne til konsekvent at opdatere deres adgangskoder og aktivere to-faktor-autentificering for at beskytte deres ChatGPT-konti.
For at tilføje 2FA til din ChatGPT-konto skal du navigere til "Indstillinger", og muligheden bør vises. Men i skrivende stund har ChatGPT suspenderet indstillingen uden forklaring - måske er de ved at tilføje flere sikkerhedsfunktioner til appen.
Mange virksomheder advarer medarbejdere om at dele følsomme oplysninger med ChatGPT og andre store sprogmodeller (LLM'er), herunder Google, som bad personalet om at være forsigtige med, hvordan de bruger chatbots, herunder deres egen LLM, Bard.
Svindlere vil helt sikkert finde kreative måder at bruge hackede ChatGPT-konti på - sikr dine med 2FA for at holde dine data sikre, og slet chatlogs regelmæssigt.