Descoberta: falha no ChatGPT expõe informações pessoais de usuários

A ESET, empresa líder em detecção proativa de ameaças, analisa a falha que permitiu aos usuários ver perguntas do histórico de pesquisa de outras pessoas  no ChatGPT e expôs informações pessoais de assinantes do plano pago do serviço, que inclui  nome completo, endereço de e-mail associado ao pagamento, os últimos quatro dígitos e a data de validade do cartão de crédito cadastrado.

Nas últimas semanas, usuários do Twitter e Reddit começaram a relatar que em seu histórico apareciam consultas feitas por outros usuários. Em alguns casos, em outros idiomas. Como confirmado pela OpenAI em um comunicado, tudo isso fez com que o serviço ChatGPT fosse suspenso por um tempo até que o bug fosse corrigido e, em seguida, o serviço fosse restaurado.Além do histórico, algumas pessoas também relataram que a página de pagamento do ChatGPT Plus mostrava o endereço de e-mail de outros usuários:A empresa afirmou ter entrado em contato com os afetados pela exposição dessas informações e está confiante de que os dados pessoais não estão mais em risco. A OpenAI ainda confirmou que a exposição foi ocasionada por um bug que estava no cliente da biblioteca de código aberto Redis, e que enviou um patch para a equipe de manutenção do Redis que já corrigiu o erro.

Além do bug que permitia a exposição de informações, foi relatada uma vulnerabilidade que permitia ataques de Web Cache Deception. Esta vulnerabilidade, que já foi corrigida, permitia-lhe roubar contas de terceiros, ver o histórico de consultas e aceder a dados de pagamento de contas.

Gal Nagli afirma que relatou à equipe de OpenAI sobre uma vulnerabilidade crítica de aquisição de conta (agora corrigida) que afetou o ChatGPT e permitiu que eles assumissem uma conta, visualizassem seu histórico de bate-papo e acessassem informações de faturamento. 

Foto: Usuário consulta o OpenAI para saber se ele foi hackeado ao ver idiomas estrangeiros em seu histórico de bate-papo e outro usuário avisa que a página de pagamento do ChatGPT Plus, alegou ter enviado um SMS de verificação para um número desconhecido

A equipe de pesquisa da ESET alertou recentemente sobre diferentes golpes e fraudes que circularam aproveitando o sucesso da plataforma. Entre os exemplos estava uma extensão falsa para o Google Chrome chamada "Acesso rápido ao Chat GPT", que os cibercriminosos usavam para roubar contas do Facebook, que por sua vez eram usadas para criar bots e exibir malvertising. No entanto, esta não foi a única extensão maliciosa a tirar proveito do nome da nova tecnologia, já que pesquisadores revelaram uma nova variante da mesma extensão maliciosa que rouba contas da rede social. Neste caso, é uma versão trojanizada de uma extensão legítima chamada "ChatGPT para o Google".

"Como podemos ver, o ChatGPT é atraente para atores mal-intencionados, seja para usar a ferramenta para fins maliciosos, bem como para se passar por eles e enganar pessoas desavisadas. Essa tendência provavelmente continuará e continuaremos a ver casos em que são feitas tentativas de explorar vulnerabilidades ou realizar fraudes em seu nome", afirma Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET. 

Por outro lado, a ESET convida você a conhecer Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir acesse este link.