Cerca de 100.000 credenciais de usuários do ChatGPT foram supostamente vazadas para a darknet. A OpenAI divulgou um comunicado sobre o incidente.
A maioria dos usuários afetados é dos Estados Unidos, França, Marrocos, Indonésia, Paquistão e Brasil. Os dados mais antigos são relatados como sendo de junho de 2022. O ChatGPT foi disponibilizado publicamente em novembro de 2022.
Dois dias após os primeiros relatos sobre o incidente na darknet, a OpenAI emitiu um comunicado ao Tom's Hardware. A empresa insiste que nem ela nem seus usuários foram alvos e que as contas vazadas estão sendo investigadas.
Obter contas do ChatGPT nunca foi tão fácil
De acordo com analistas de segurança da Group-IB, a maioria das credenciais comprometidas foi encontrada em registros associados a vários malwares. No topo da lista está o supostamente fácil de usar software Raccoon, responsável por 78.348 contas comprometidas.
Os resultados do Relatório de Inteligência de Ameaças da Group-IB são “resultado de malware comum nos dispositivos das pessoas e não de uma violação da OpenAI”, disse um porta-voz da OpenAI.
Ele acrescentou que a OpenAI segue as melhores práticas da indústria para autenticação e autorização de usuários, e incentiva os usuários a utilizarem senhas fortes e instalarem apenas softwares verificados e confiáveis em seus computadores.
O ChatGPT é um alvo sensível
Não é incomum que dados sensíveis caiam em mãos erradas em vazamentos de contas. No caso do ChatGPT, no entanto, o impacto pode ser particularmente dramático: como o ChatGPT armazena todos os chats por padrão, os invasores podem inadvertidamente ter acesso a um “tesouro de informações sensíveis” com os dados vazados. As pessoas usam o ChatGPT para conversar sobre todo tipo de assunto, incluindo informações pessoais ou comerciais sensíveis.
A Samsung, por exemplo, proibiu o uso do ChatGPT por medo de violação de dados após um caso em que funcionários da empresa inseriram códigos confidenciais. Funcionários que ainda estiverem usando o ChatGPT na Samsung podem ser demitidos. A Apple também proibiu o uso do ChatGPT.
Em resposta à pressão política, a OpenAI implementou um recurso de exclusão voluntária no final de abril, que exclui automaticamente todos os chats e os remove dos materiais de treinamento. Para mais de 100.000 contas vazadas, isso chega tarde demais: segundo pesquisadores de segurança, os dados vazados já estão à venda na darknet há muito tempo. Não custa nada alterar sua senha.