Uma falha no cliente da biblioteca de código aberto Redis permitiu que os usuários visualizassem perguntas do histórico de busca de outros usuários do ChatGPT por um período de tempo. Além disso, a falha expôs informações pessoais de uma pequena porcentagem de assinantes do ChatGPT, tais como nome e sobrenome, e-mail associado ao pagamento, últimos quatro dígitos e data de expiração do cartão de crédito.
A OpenAI confirmou através de um comunicado que o incidente fez com que a empresa tivesse que suspender o serviço ChatGPT por um período de tempo até que a correção da falha e reestabelecimento do serviço.
Tudo começou no dia 20 de março quando os usuários no Twitter e Reddit começaram a relatar que seu histórico de perguntas mostrava buscas feitas por outros usuários. Em alguns casos, em outros idiomas.
@OpenAI why are you giving me foreign languages in my chat history side column this morning?
Have you been hacked?#ChatGPT pic.twitter.com/UdhVQxSKzK
— Joseph Hollak (@jhollak) March 20, 2023
Além do histórico de buscas, algumas pessoas também informaram que os endereços de e-mail de outros usuários apareceram na página de pagamento do ChatGPT Plus:
@OpenAI on payment page for ChatGPT Plus, it originally stated it had sent an SMS to a number I did not recognise. Then when selecting to send an email instead, it is showing an email address that I have never heard of. Form field is also pre-filled with the unknown email address pic.twitter.com/B4X5cZv2kn
— Elliot (@elliotm_95) March 20, 2023
No caso dos dados de pagamento, assim como explicou a OpenAI, o vazamento dos dados afetou 1,2% dos assinantes ativos do ChatGPT Plus e, embora tenha confirmado que algumas das informações expostas incluíam os últimos quatro dígitos dos cartões de crédito, em nenhum caso houve a exposição completa dos números dos cartões.
A empresa por trás do ChatGPT disse ter contatado usuários afetados pela exposição das informações e assegurou que os dados pessoais dos usuários não estão mais em risco.
Quanto à correção da falha, a OpenAI não apenas confirmou que foi um bug no cliente da biblioteca Redis que causou esta exposição de dados, mas também enviou um patch para a equipe de manutenção da biblioteca para a correção da falha.
Vulnerabilidade que permite o sequestro de contas foi corrigida no ChatGPT
Além da falha que expôs as informações, Gal Nagli relatou à OpenAI uma vulnerabilidade que permite ataques de Web Cache Deception. Segundo a explicação de Nagli no Twitter, a vulnerabilidade, que desde então foi corrigida, permitiu o roubo de contas de terceiros, a visualização do histórico de buscas e o acesso aos detalhes de pagamento da conta.
The team at @OpenAI just fixed a critical account takeover vulnerability I reported few hours ago affecting #ChatGPT.
It was possible to takeover someone's account, view their chat history, and access their billing information without them ever realizing it.
Breakdown below 👇 pic.twitter.com/W4kXMNy6qI
— Nagli (@naglinagli) March 24, 2023
ChatGPT é algo de cibercriminosos
Recentemente, destacamos uma série de golpes que estão circulado atualmente e utilizam o sucesso do ChatGPT. Entre os exemplos, mencionamos a descoberta de uma falsa extensão no Google Chrome chamada "Quick access to Chat GPT" que os cibercriminosos estavam utilizando para roubar contas no Facebook, que por sua vez eram utilizadas para criar bots e exibir propagandas maliciosas. Entretanto, esta não foi a única extensão maliciosa que utilizou o nome do ChatGPT, como os pesquisadores do Guardio revelaram na semana passada, descobriram uma nova variante da mesma extensão maliciosa que rouba contas da rede social. Neste caso, trata-se de uma versão trojanizada de uma extensão legítima chamada "ChatGPT for Google".
Como podemos ver, o ChatGPT é algo bastante interessante para os cibercriminosos, tanto para utilizar a ferramenta para fins maliciosos, como para se fazer passar pelo serviço e enganar pessoas desatentas. É provável que esta tendência continue e continuaremos vendo casos em que são feitas tentativas de explorar vulnerabilidades ou realizar golpes em nome do serviço.
Veja mais:
