Il commercio di credenziali di account ChatGPT rubate, in particolare quelle per account premium, è in aumento nel dark web da marzo, consentendo ai criminali informatici di aggirare le restrizioni di geofencing di OpenAI e ottenere un accesso illimitato a ChatGPT, secondo un rapporto dello studio Check Point.
"Nell'ultimo mese, CPR (Check Point Research) ha osservato un aumento delle conversazioni sui forum clandestini relativi alla fuga o alla vendita di account premium ChatGPT compromessi", ha affermato Check Point in un post sul blog. "La maggior parte di questi account rubati viene venduta, ma alcuni attori condividono anche account premium ChatGPT rubati gratuitamente, per pubblicizzare i propri servizi o strumenti per rubare gli account".
Varie attività criminali attorno a ChatGPT
I ricercatori hanno osservato vari tipi di discussioni e scambi relativi a ChatGPT sul dark web nell'ultimo mese.
L'ultima attività del dark web in termini di ChatGPT include la perdita e la pubblicazione gratuita delle credenziali dell'account ChatGPT e il commercio di account premium ChatGPT rubati.
I criminali informatici scambiano anche strumenti di verifica e forza bruta per ChatGPT. Questi strumenti consentono ai criminali informatici di hackerare gli account ChatGPT eseguendo enormi elenchi di indirizzi e-mail e password, cercando di indovinare la combinazione corretta per ottenere l'accesso agli account esistenti.
Viene offerto anche ChatGPT Account as a Service, un servizio dedicato che offre l'apertura di account ChatGPT premium, molto probabilmente utilizzando carte di pagamento rubate, ha affermato Check Point nel suo post sul blog.
Vendo configurazione SilverBullet
I criminali informatici offrono anche un file di configurazione per SilverBullet che può verificare un set di credenziali per la piattaforma OpenAI in modo automatico, ha affermato Check Point.
SilverBullet è una suite di test Web che consente agli utenti di effettuare richieste a un'applicazione Web di destinazione. Viene anche utilizzato dai criminali informatici per eseguire attacchi di credential stuffing e verifica dell'account contro diversi siti Web per rubare account per piattaforme online.
Nel caso di ChatGPT, secondo i ricercatori, ciò consente loro di dirottare account su larga scala. Il processo è completamente automatizzato e può avviare tra 50 e 200 controlli al minuto. Inoltre, supporta l'implementazione del proxy che, in molti casi, consente di aggirare diverse protezioni sui siti Web contro tali attacchi.
"Un altro criminale informatico che prende di mira solo abusi e frodi contro i prodotti ChatGPT, si è persino definito 'gpt4'. Nelle sue discussioni, offre in vendita non solo account ChatGPT, ma anche una configurazione per un altro checkpoint automatizzato dello strumento che verifica la validità di un identificatore, ", ha detto Checkpoint.
Aggiornamento a vita a ChatGPT Plus
Un criminale informatico di lingua inglese ha iniziato a pubblicizzare un servizio di account ChatGPT Plus a vita con una garanzia di soddisfazione al 100% il 20 marzo, ha affermato Check Point.
Un aggiornamento a vita da un normale account ChatGPT Plus aperto tramite l'e-mail fornita dall'acquirente costa € 59.99, mentre il prezzo legittimo originale di OpenAI per il servizio è di € 20 al mese.
"Tuttavia, per risparmiare sui costi, questo servizio clandestino offre anche un'opzione per condividere l'accesso all'account ChatGPT con un altro criminale informatico per 24.99 euro, a vita", ha affermato Check Point.
Cosa si può fare con le credenziali dell'account ChatGPT rubate?
C'è un'elevata richiesta di credenziali rubate dagli account premium di ChatGPT, in quanto possono aiutare i criminali informatici a bypassare le restrizioni di geofencing che impone. ChatGPT ha restrizioni di geofencing che limitano l'uso del servizio in determinate aree geografiche come Iran, Russia e Cina.
Tuttavia, utilizzando l'API ChatGPT, i criminali informatici possono aggirare le restrizioni e utilizzare anche account premium, ha affermato Check Point.
Un altro potenziale utilizzo per i criminali informatici è ottenere informazioni personali. Gli account ChatGPT memorizzano le richieste recenti del proprietario dell'account.
“Quindi, quando i criminali informatici rubano account esistenti, hanno accesso alle richieste del proprietario dell'account originale. Ciò può includere informazioni personali, dettagli di prodotti e processi aziendali, ecc. Check Point ha detto nel post sul blog.
A marzo, OpenAI supportato da Microsoft ha rivelato che un bug nella libreria client Redis open source aveva causato l'arresto anomalo di ChatGPT e la perdita di dati, in cui gli utenti potevano vedere le informazioni personali di altre persone e le richieste di chat degli utenti. .
Le richieste di chat e le informazioni personali come nomi degli abbonati, indirizzi e-mail, indirizzi di pagamento e informazioni parziali sulla carta di credito di circa l'1,2% degli abbonati ChatGPT Plus sono state esposte, ha riconosciuto la società.
Problemi di privacy in ChatGPT
Negli ultimi mesi ci sono stati diversi problemi di privacy e sicurezza relativi a ChatGPT. Il regolatore italiano della privacy dei dati ha già bandito ChatGPT per presunte violazioni della privacy relative alla raccolta e all'archiviazione dei dati personali da parte del chatbot. Le autorità hanno affermato che revocheranno il divieto temporaneo di ChatGPT se OpenAI soddisferà una serie di requisiti di protezione dei dati entro il 30 aprile.
Il commissario tedesco per la protezione dei dati ha anche avvertito che ChatGPT potrebbe subire un potenziale blocco in Germania a causa di problemi di sicurezza dei dati.
Nel frattempo, all'inizio di questa settimana, OpenAI ha annunciato un programma di bug bounty che invita la comunità globale di ricercatori di sicurezza, hacker etici e appassionati di tecnologia ad aiutare l'azienda a identificare e correggere le vulnerabilità nei suoi sistemi di sicurezza dell'intelligenza artificiale generativa.
OpenAI distribuirà premi in denaro che vanno da € 200 per reperti di bassa gravità a € 20,000 per reperti eccezionali.
Copyright © 2023 IDG Communications, Inc.