Società di consulenza sulla sicurezza informatica di Singapore Gruppo-IB ha rilevato un'allarmante fuga di accessi a ChatGPT.
Secondo Group-IB, più di 101.134 dispositivi con i dati di accesso a ChatGPT salvati sono stati violati dagli info stealers, un tipo di software maligno progettato per estrarre dati sensibili. Dalle credenziali di accesso, ai dati bancari, alla cronologia di navigazione e altro ancora, i ladri di informazioni estraggono e inoltrano i dati ai loro operatori.
La piattaforma di Threat Intelligence di Group-IB identifica i login compromessi di ChatGPT scambiati sui mercati del dark web.
Le violazioni hanno raggiunto l'apice a maggio, quando 26.802 account ChatGPT compromessi sono apparsi nei registri del dark web. La regione Asia-Pacifico ha rappresentato la maggior parte dei dati trapelati.
Il Gruppo-IB ha identificato 101.134 #stealer-dispositivi infetti con dispositivi salvati #ChatGPT credenziali. La piattaforma di Threat Intelligence di Group-IB ha trovato queste credenziali compromesse all'interno dei log di malware che rubano informazioni e che sono stati scambiati sui mercati illeciti del dark web nell'ultimo anno. pic.twitter.com/fNy6AngoXM
- Group-IB Threat Intelligence (@GroupIB_TI) 20 giugno 2023
Perché le persone vogliono accedere a ChatGPT?
ChatGPT riceve ogni giorno volumi colossali di dati, tra cui informazioni personali e aziendali.
OpenAI avverte gli utenti di non condividere informazioni sensibili e personali con l'IA, ma questo è difficile se si utilizza lo strumento, ad esempio, per generare un CV o analizzare informazioni interne all'azienda. Inoltre, l'IA salva di default le interazioni e le trascrizioni degli utenti, compresi i dati potenzialmente sensibili.
Group-IB afferma che i gruppi di criminali informatici sono sempre più interessati al potenziale dei login di ChatGPT, soprattutto quando l'utente può essere identificato da altre informazioni personali. Ad esempio, è del tutto possibile che l'amministratore delegato di un'azienda condivida con ChatGPT informazioni sensibili che possono essere utilizzate per hacking, riscatti e altri reati.
Dmitry Shestakov, Head of Threat Intelligence di Group-IB, ha commentato: "Molte aziende stanno integrando ChatGPT nel loro flusso operativo. I dipendenti inseriscono corrispondenze riservate o utilizzano il bot per ottimizzare il codice proprietario. Dato che la configurazione standard di ChatGPT conserva tutte le conversazioni, questo potrebbe inavvertitamente offrire un tesoro di informazioni sensibili agli attori delle minacce, se ottengono le credenziali dell'account. Noi di Group-IB monitoriamo continuamente le comunità clandestine per identificare tempestivamente tali account".
Alla luce di queste minacce alla sicurezza, Group-IB consiglia agli utenti di aggiornare costantemente le proprie password e di attivare l'autenticazione a due fattori per salvaguardare i propri account ChatGPT.
Per aggiungere la 2FA al vostro account ChatGPT, andate su "Impostazioni" e apparirà l'opzione. Tuttavia, al momento in cui scriviamo, ChatGPT ha sospeso l'impostazione senza alcuna spiegazione - forse stanno aggiungendo ulteriori funzioni di sicurezza all'app.
Molte aziende stanno avvertendo i dipendenti di non condividere informazioni sensibili con ChatGPT e altri modelli linguistici di grandi dimensioni (LLM), compreso Googleche ha detto al personale di fare attenzione all'uso dei chatbot, compreso il proprio LLM, Bard.
I truffatori troveranno sicuramente modi creativi per utilizzare gli account ChatGPT violati: proteggete il vostro con 2FA per tenere al sicuro i vostri dati e cancellate regolarmente i log delle chat.