根据Check Point的研究,自3月以来,失窃ChatGPT帐户凭据的交易,尤其是高级帐户的交易,在暗网上呈快速上升趋势,这使网络犯罪分子能够绕过OpenAI的地理围栏限制并无限制地访问ChatGPT。同时,失窃ChatGPT高级账户还成为犯罪分子窃取敏感信息的潜在途径。
围绕ChatGPT的犯罪活动
在过去的一个月里,研究人员在暗网上观察到了与ChatGPT相关的各种讨论和交易。
就ChatGPT而言,暗网上的最新活动包括ChatGPT帐户凭据的泄漏和免费发布,以及被盗高级ChatGPT帐户的交易。
网络犯罪分子也在用暴力破解和跳棋工具窃取ChatGPT。网络犯罪分子使用这些工具通过庞大的电子邮件地址和密码列表对ChatGPT帐户实施凭据填充攻击。
犯罪分子还提供ChatGPT帐户即服务,即提供开设ChatGPT高级帐户的服务,很有可能使用了被盗的支付卡。
专门窃取ChatGPT账户的SilverBullet配置文件
SilverBullet是一个Web测试套件,允许用户对目标Web应用程序执行请求。网络犯罪分子也经常使用该工具对网站实施凭证填充和帐户检查攻击。
网络犯罪分子近日为SilverBullet提供了一个配置文件,可以自动方式检查OpenAI平台的一组凭据,从而大规模窃取ChatGPT账户。该过程是完全自动化的,每分钟可以启动50到200次检查。此外,它支持代理实现,在许多情况下能够绕过OpenAI网站上的不同保护措施。
另一位只关注针对ChatGPT产品的滥用和欺诈的网络犯罪分子甚至将自己命名为“gpt4”。他不仅提供出售ChatGPT帐户,还提供另一个检查凭据有效性的自动化工具的配置。
“终身升级”到ChatGPT Plus
犯罪分子为买方提供的电子邮件开设ChatGPT Plus帐户的终身升级费用仅为59.99美元(犯罪分子使用的很可能是失窃的信用卡),而OpenAI对此服务的官方定价为每月20美元。
为了进一步降低成本,这项地下服务还提供了与另一名网络犯罪分子共享ChatGPT帐户的选项,价格为24.99美元,终身有效。
被盗的ChatGPT帐户的隐藏价值:泄露敏感信息
网络犯罪分子对失窃的ChatGPT高级帐户需求巨大,因为它可以帮助网络犯罪分子解除ChatGPT的地理围栏限制,ChatGPT限制在某些地区(如伊朗、俄罗斯和中国)使用该服务,此外越来越多的国家,例如意大利和德国在考虑或已经禁止使用ChatGPT。
使用ChatGPT API,网络犯罪分子可以绕过限制并使用高级帐户。
失窃ChatGPT账户还能帮助网络犯罪分子获取大量敏感信息。ChatGPT帐户存储帐户所有者最近的查询内容,其中经常会出现一些敏感信息,例如个人信息、公司产品和流程的详细信息等。
今年三月OpenAI曾披露其Redis客户端开源库漏洞导致ChatGPT中断和数据泄露,用户可以看到其他用户的个人信息和聊天查询内容。
OpenAI承认,大约1.2%的ChatGPT Plus订户的聊天查询和个人信息,如订户姓名、电子邮件地址、付款地址和部分信用卡信息被曝光。
ChatGPT的隐私困局
在过去的几个月里,围绕ChatGPT出现了各种隐私和安全问题。意大利的数据隐私监管机构已经禁止ChatGPT,因为后者涉嫌收集和存储个人数据有关的隐私侵犯。意大利当局表示,如果OpenAI在4月30日之前满足一系列数据保护要求,他们将解除对ChatGPT的临时禁令。
德国数据保护专员也警告说,由于数据安全问题,ChatGPT可能在德国面临潜在的封锁。
与此同时,本周早些时候,OpenAI宣布了一项漏洞赏金计划,邀请全球安全研究人员,道德黑客和技术爱好者社区帮助该公司识别和解决其生成式人工智能系统中的漏洞。
OpenAI提供的漏洞赏金从低严重性发现的200美元到特殊发现的2万美元不等。
参考链接:
https://blog.checkpoint.com/security/new-chatgpt4-0-concerns-a-market-for-stolen-premium-accounts/
来源:GoUpSec