ChatGPTのユーザー認証情報約10万件がダークネットに流出したとされる。OpenAIはこの件について声明を発表した。

影響を受けたユーザーのほとんどは、米国、フランス、モロッコ、インドネシア、パキスタン、ブラジルのユーザー。最も古いデータは2022年6月のものと報告されている。ChatGPTは2022年11月に一般公開された。

ダークネット事件に関する最初の報道から2日後、OpenAIはTom's Hardwareに対して声明を発表した。同社は、同社も同社のユーザーも標的にされておらず、流出したアカウントは調査中であると主張している。

ChatGPTアカウントの取得はかつてないほど簡単に

Group-IBのセキュリティアナリストによると、漏洩した認証情報のほとんどは、様々なマルウェアに関連するレジストリから発見された。リストのトップは、78,348の漏洩したアカウントの原因となった、使いやすいとされるRaccoonソフトウェアです。

Group-IBの脅威インテリジェンスレポートの結果は、「人々のデバイス上の一般的なマルウェアの結果であり、OpenAIの侵害ではない」とOpenAIの広報担当者は述べた。

彼は、OpenAIはユーザー認証と認可のための業界のベストプラクティスに従っており、強力なパスワードを使用し、検証された信頼できるソフトウェアのみをコンピュータにインストールするようユーザーに奨励していると付け加えた。

Group-IB

ChatGPTはセンシティブなターゲット

アカウント流出で機密データが悪人の手に渡ることは珍しくない。しかし、ChatGPTの場合、その影響は特に劇的です。ChatGPTはデフォルトですべてのチャットを保存するため、攻撃者は不注意にも流出したデータで機密情報の「宝の山」にアクセスしてしまう可能性があります。人々はChatGPTを使って、機密性の高い個人情報やビジネス情報を含むあらゆるトピックについてチャットしている。

例えばサムスンは、社員が機密コードを入力した事件の後、データ漏洩を恐れてChatGPTの使用を禁止した。サムスンで現在もChatGPTを使用している社員は解雇される可能性がある。アップルもChatGPTの使用を禁止している。

政治的圧力に応え、OpenAIは4月下旬、すべてのチャットを自動的に削除し、トレーニング教材から削除する自主削除機能を実装した。セキュリティ研究者によると、流出したデータは長い間ダークネットで売られていたという。パスワードを変えるのにお金はかからない。