חוקרי אבטחת מידע גילו למעלה מ- 200,000 אישורי OpenAI גנובים למכירה ברשת האפלה. אישורי הכניסה – שמות ומשתמשים וסיסמאות, מאפשרים לפושעי סייבר להשתמש בתכונות הפרימיום של ChatGPT בחינם ולגשת לצ'אטים הכוללים מידע סודי כמו סודות מסחריים, קוד מקור ותוכניות עסקיות.
התגלית באה בעקבות דו"ח צוות מודיעין האיומים של חברת אבטחת הסייבר Group-IB שלפיו, למעלה מ- 100,000 אישורי חשבון ChatGPT נסחרו בשווקי הרשת האפלה בין יוני 2022 למאי 2023. האישורים הגנובים של OpenAI נגנבו באמצעות נוזקות Raccoon Infostealer (78,348), Vidar (12,984) ו- RedLine (6,773). על פי הדו"ח, אזור אסיה היווה את רוב אישורי ה- OpenAI (40.5%) המוצעים למכירה בשווקי הרשת האפלה ואחריו המזרח התיכון ואפריקה (24.6%) ואירופה (16.8%). הודו כבשה את המקום הראשון עם 12,632 אישורי OpenAI הרשומים ברשת האפלה ואחריה פקיסטן (9,217), ברזיל (6,531), וייטנאם (4,771) ומצרים (4,588), בעוד ארצות הברית הייתה במקום השישי עם 2,995 חשבונות שנפגעו.
עם זאת, הבהירה ChatGPT כי אישורי הכניסה שנפגעו לא היו תוצאת דלף מידע של OpenAI, אלא תוצר הלוואי של פריצה ללוגים על ידי נוזקות: "OpenAI שומרת על שיטות עבודה מומלצות לאימות והרשאה של משתמשים לשירותים כולל ChatGPT. אנו מעודדים את המשתמשים שלנו להשתמש בסיסמאות חזקות ולהתקין רק תוכנה מאומתת ומהימנה במחשבים אישיים". בנוסף, על המשתמשים לאפשר אימות דו-שלבי ולהימנע מהזנת מידע רגיש כגון סיסמאות וכרטיסי אשראי בתיבת הצ'אט.
"עובדי ארגונים מכניסים התכתבויות מסווגות או משתמשים בבוט כדי לייעל את הקוד הקנייני", אמר ראש מודיעין האיומים של Group-IB – דמיטרי שסטקוב והוסיף: "בהתחשב בעובדה שהתצורה הסטנדרטית של ChatGPT שומרת על כל השיחות, זה עלול להציע בלי משים שלל מודיעין רגיש לפושעי סייבר, במידה וישיגו אישורי חשבון". שסטקוב גם אישר את הטענות של OpenAI לפיהן אישורי OpenAI שנגנבו היו לא תוצאה של חולשות כלשהן של תשתית ChatGPT.
פיליפ פוינטנר – ראש תחום זהות דיגיטלית ב- Jumio, הסביר מדוע תיבות הצ'אט AI גורמות לדאגה נוספת: "עם למעלה מ- 200,000 אישורי OpenAI שניתן להשיג ברשת האפלה, יכולים פושעי סייבר לשים את ידם בקלות על מידע אישי כמו מספרי טלפון, כתובות פיזיות ומספרי כרטיסי אשראי", ציין פוינטנר והדגיש: "באמצעות האישורים הללו, יכולים פושעי סייבר להשיג גישה לכל סוגי המידע שהזינו המשתמשים בצ'אטבוט, כמו תוכן משיחות קודמות שלהם ולהשתמש בו כדי ליצור הונאות דיוג מותאמות אישית כדי להגביר את האמינות והיעילות שלהם".