ChatGPT confirma vazamento de dados de cartão de crédito de usuários
Por Claudio Yuge |
Na segunda-feira da semana passada (20), a empresa OpenAI, responsável pela inteligência artificial generativa do ChatGPT, admitiu ter desligado seus servidores por conta de uma vulnerabilidade de segurança. Após uma semana de investigação, a companhia confirmou o vazamento de dados sensíveis de usuários, incluindo o histórico de conversas.
- Bug no ChatGPT expõe histórico de conversas de usuários
- Falsa extensão do ChatGPT para Chrome rouba contas do Facebook
A OpenAI confirmou uma violação de dados causada por um bug em uma biblioteca de código aberto. Além disso, a empresa de segurança cibernética GreyNoise observou que um componente introduzido recentemente é afetado por uma vulnerabilidade explorada ativamente.
O que isso quer dizer, na prática? Bem, segundo a investigação da OpenAI, os títulos do histórico de bate-papo dos usuários ativos e a primeira mensagem de uma conversa recém-criada foram expostos na violação de dados. O bug também expôs informações relacionadas a pagamentos pertencentes a 1,2% dos assinantes do ChatGPT Plus, incluindo nome e sobrenome, endereço de e-mail, endereço de pagamento, data de validade do cartão de pagamento e os últimos quatro dígitos do número do cartão do cliente.
A OpenAI disse ainda que as informações foram expostas durante uma janela de nove horas na segunda-feira passada, e adiantou que parte do conteúdo também pode ter vazado antes de 20 de março. “Entramos em contato para notificar os usuários afetados de que suas informações de pagamento podem ter sido expostas. Estamos confiantes de que não há risco contínuo para os dados dos usuários”, disse a empresa em postagem do seu blog.
Para evitar novos problemas relacionados, a companhia diz ter realizado as seguintes ações:
- Testamos exaustivamente nossa correção para o bug;
- Foram adicionadas verificações redundantes para garantir que os dados retornados por nosso cache Redis [onde resultou o problema na biblioteca de código aberto] correspondam ao usuário solicitante;
- Examinamos programaticamente nossos logs para garantir que todas as mensagens estejam disponíveis apenas para o usuário correto;
- Correlacionamos várias fontes de dados para identificar com precisão os usuários afetados para que possamos notificá-los;
- Aprimoramos o registro para identificar quando isso está acontecendo e confirmarmos se parou totalmente;
- Aprimoramos a robustez e a escala do nosso cluster Redis aprimoradas para reduzir a probabilidade de erros de conexão em cargas extremas.
Problema no ChatGPT descoberto por firma de segurança
Na sexta-feira (24), a empresa de inteligência de ameaças GreyNoise emitiu um alerta sobre um novo recurso do ChatGPT que aumenta os recursos de coleta de informações do chatbot por meio do uso de plugins.
A GreyNoise observou que os exemplos de código fornecidos pela OpenAI aos clientes interessados em usar seus plugins com o novo recurso incluem uma imagem afetada por uma vulnerabilidade. A versão da imagem docker usada no exemplo da OpenAI, versão 2022-03-17, é afetada por CVE-2023-28432, uma falha de segurança que pode ser explorada para obter chaves sigilosas e senhas de root.
Para piorar, a GreyNoise já detectou por aí várias tentativas de explorar a vulnerabilidade. “Embora não tenhamos informações sugerindo que algum ator específico esteja visando instâncias de exemplo do ChatGPT, observamos essa vulnerabilidade sendo explorada ativamente na natureza. Quando os invasores tentam a identificação em massa e a exploração em massa de serviços vulneráveis, ‘tudo’ está no escopo, incluindo quaisquer plug-ins ChatGPT implantados que utilizam esta versão desatualizada do MinIO”, alertou a empresa de segurança.