Secondo un rapporto della società di ricerca sulla sicurezza informatica Group-IB con sede a Singapore, sono state scoperte le credenziali di accesso a ChatGPT per circa 100.000 account in mercati illegali noti come dark web. Queste informazioni di accesso salvate sono state cancellate da malware nel corso di un anno. Il malware è dello stesso tipo utilizzato per rubare password e altre informazioni personali, dimostrando così la popolarità del chatbot AI generativo sia tra gli utenti che tra coloro che cercano di sfruttare i dati.
Come mostrato nel grafico sopra, il numero di accessi a ChatGPT scoperti nei dati rubati è aumentato rapidamente da 74 nel giugno dello scorso anno, raggiungendo un picco di quasi 27.000 a maggio. La regione dell’Asia-Pacifico è stata la principale fonte di credenziali ChatGPT vendute sul dark web, rappresentando circa il 40% del totale, seguita dall’Europa. Group-IB ha identificato tre principali tipi di malware responsabili dei furti: Raccoon, Vidar e Redline, con Raccoon che ha rappresentato quasi l’80% delle violazioni. Una volta ottenute le credenziali, queste informazioni vengono vendute nei mercati online che richiedono l’accesso a software illecito.
“Molte aziende stanno integrando ChatGPT nei loro flussi di lavoro. I dipendenti inseriscono corrispondenze riservate o utilizzano il bot per ottimizzare il codice proprietario”, ha affermato Dmitry Shestakov, capo dell’intelligence sulle minacce di Group-IB. “Poiché la configurazione standard di ChatGPT conserva tutte le conversazioni, questo potrebbe involontariamente fornire una miniera di informazioni sensibili agli attori delle minacce se riescono a ottenere le credenziali dell’account. In Group-IB monitoriamo costantemente le comunità sotterranee per identificare tempestivamente tali account”.
La perdita delle credenziali non è stata causata da alcuna vulnerabilità nella sicurezza di OpenAI, tuttavia potrebbe portare a un maggior controllo dei sistemi di sicurezza da parte dello sviluppatore di intelligenza artificiale generativa. Dopo che un esperto di sicurezza ha scoperto una vulnerabilità di ChatGPT che consentiva a alcuni utenti di visualizzare i titoli delle conversazioni di altre persone con l’IA, OpenAI ha apportato diversi aggiornamenti alla propria infrastruttura di sicurezza. Anche se la risposta è stata relativamente rapida, potrebbe comunque portare a un maggiore controllo da parte delle autorità regolatorie governative e a un breve divieto di utilizzo di ChatGPT in Italia. Inoltre, OpenAI ha creato un programma di “bug bounty” che offre fino a $ 20.000 agli utenti che segnalano problemi di sicurezza all’azienda.
L’aumento dei furti di accessi a ChatGPT evidenzia quanto gli strumenti di intelligenza artificiale generativa e gli account utilizzati dalle persone stiano diventando parte delle informazioni personali di un utente di Internet. Account email, password bancarie e altri dati critici e privati richiedono informazioni di accesso sempre più complesse e devono essere regolarmente aggiornate. Per questo motivo, OpenAI potrebbe dover implementare politiche simili, come riconosciuto dall’azienda stessa.
“I risultati del rapporto Threat Intelligence di Group-IB sono il risultato di malware presente sui dispositivi delle persone e non rappresentano una violazione di sicurezza da parte di OpenAI”, ha affermato OpenAI in una nota. “Attualmente stiamo indagando sugli account che sono stati compromessi. OpenAI adotta le migliori pratiche del settore per l’autenticazione e l’autorizzazione degli utenti ai suoi servizi, tra cui ChatGPT, e incoraggia i nostri utenti a utilizzare password complesse e ad installare solo software verificato e affidabile sui propri computer personali”.