vazamento de dados de cartão de crédito de usuários pelo ChatGPT

Na segunda-feira (20), a OpenAI, empresa responsável pela inteligência artificial do ChatGPT, admitiu que desligou seu servidor devido a uma falha de segurança.

Após uma semana de investigação, a empresa confirmou o vazamento de dados confidenciais do usuário, incluindo o histórico de chamadas.

A OpenAI confirmou que a violação de dados foi causada por um bug na biblioteca de código aberto.

Além disso, a empresa de segurança cibernética GreyNoise observou que um componente recém-introduzido afeta vulnerabilidades que estão sendo exploradas ativamente.

O que isso significa na prática? Bem, de acordo com a pesquisa da OpenAI.

Os títulos do histórico de bate-papo de usuários ativos e a primeira mensagem de uma conversa recém-criada foram expostos na violação de dados.

O bug também expôs as informações de pagamento de 1,2% dos clientes do ChatGPT Plus, incluindo nome e sobrenome.

E-mail, endereço de cobrança, data de validade do cartão de pagamento e os últimos quatro dígitos do número do cartão de pagamento. cartão de cliente.

A OpenAI também disse que as informações foram divulgadas durante uma janela de nove horas na segunda-feira.

Acrescentando que parte de seu conteúdo também pode ter sido divulgada antes de 20 de março.

“Estamos notificando os usuários afetados de que seus detalhes de pagamento foram divulgados. não há risco contínuo para os dados do usuário”, disse a empresa em seu site.

Para evitar novos problemas relacionados, a empresa disse que tomou as seguintes medidas:

Testamos exaustivamente nossas correções de bugs;

Adicionadas verificações aleatórias para garantir que os dados retornados de nosso repositório Redis.

[onde o problema surgiu da biblioteca de código aberto] correspondam aos desejos do usuário;

Verificamos programaticamente nossos logs para garantir que todas as mensagens sejam acessíveis apenas aos usuários corretos;

Combinamos várias fontes de dados para identificar com precisão os usuários afetados para notificá-los;

Ajustamos o log para detectar quando isso acontece e confirmar que está completamente parado;

Otimizamos a robustez e a escalabilidade de nosso cluster Redis aprimorado para reduzir o risco de falhas de rede sob carga excessiva.

Problema do ChatGPT detectado pela empresa de segurança

Na sexta-feira (24), a empresa de inteligência de ameaças GreyNoise enviou uma notificação sobre um novo recurso no ChatGPT.

Que aumenta os recursos de inteligência do chatbot usando plugins.

GreyNoise observa que as amostras de código que o OpenAI fornece aos clientes interessados ​​em usar plug-ins com o novo recurso.

Contêm uma imagem afetada pela vulnerabilidade.

A versão da imagem do docker usada na amostra OpenAI, versão 17/03/2022, é afetada por CVE-2023-28432.

Uma vulnerabilidade que pode ser explorada para obter chaves confidenciais e senhas de root.

Para piorar a situação, GreyNoise já detectou várias tentativas de explorar a vulnerabilidade.

“Embora não tenhamos nenhuma informação que sugira que atores específicos estejam visando instâncias do ChatGPT.

Estamos vendo a vulnerabilidade sendo explorada ativamente no campo.

À medida que os invasores tentam identificar e explorar os serviços extensivamente vulneráveis, ‘tudo’ está em risco.

Incluindo todos enviaram plug-ins ChatGPT que usam uma versão desatualizada do MiniIO”, alertou a empresa de segurança.

---

*Fonte de pesquisa: OpenAI

O incidente de vazamento de dados do ChatGPT não apenas levantou preocupações sobre a segurança dos dados dos usuários, mas também trouxe à tona uma discussão mais ampla sobre a responsabilidade das empresas de tecnologia em proteger informações sensíveis. A OpenAI, que se posiciona como uma líder no desenvolvimento de inteligência artificial, agora se vê sob a pressão de garantir que seus sistemas sejam não apenas inovadores, mas também seguros.

Os dados expostos, especialmente informações de pagamento, são extremamente valiosos no mercado negro. Isso significa que os usuários afetados podem ser alvos de fraudes e roubo de identidade, o que gera uma preocupação adicional e um impacto negativo na confiança que os consumidores depositam em plataformas digitais. A confiança é um ativo crucial na era digital, e a OpenAI precisa trabalhar arduamente para restaurá-la.

As respostas rápidas da OpenAI às vulnerabilidades identificadas são um passo na direção certa. No entanto, muitos especialistas em segurança cibernética argumentam que a empresa deve ir além da correção de bugs e da implementação de verificações aleatórias. É fundamental que a OpenAI estabeleça uma cultura de segurança que permeie todos os níveis da organização, desde o desenvolvimento de software até a gestão de dados. Isso inclui a realização de auditorias regulares, treinamento contínuo para os funcionários e a colaboração com especialistas externos em segurança cibernética.

Além disso, a transparência no processo de comunicação com os usuários é vital. Notificar rapidamente os afetados sobre o vazamento é apenas o começo; a OpenAI deve também fornecer orientações claras sobre como os usuários podem proteger suas informações pessoais. A empresa poderia considerar oferecer serviços de monitoramento de identidade, ajudando os clientes a detectar possíveis fraudes antes que causem danos significativos.

Outro aspecto importante a se considerar é a adaptação das práticas de segurança à medida que novas tecnologias emergem. O uso de plugins, como mencionado, traz novas camadas de complexidade e risco. As empresas que desenvolvem essas ferramentas devem estar cientes das potenciais vulnerabilidades e trabalhar em conjunto com a OpenAI para garantir que a segurança não seja comprometida. Isso pode incluir a realização de testes de penetração e a implementação de protocolos de segurança em cada fase do desenvolvimento de software.

A responsabilidade não recai apenas sobre a OpenAI, mas também sobre os usuários. A conscientização sobre segurança digital é fundamental para proteger informações pessoais. Os usuários devem ser incentivados a utilizar senhas fortes, ativar a autenticação de dois fatores e monitorar regularmente suas contas financeiras.

Em suma, o vazamento de dados do ChatGPT é um lembrete contundente da fragilidade da segurança digital e da necessidade imperativa de adotar uma abordagem proativa em relação à proteção de dados. Para garantir um futuro mais seguro, a OpenAI e outras empresas de tecnologia devem aprender com este incidente e se comprometer a implementar práticas robustas de segurança, desenvolvendo uma relação de confiança com seus usuários. O caminho à frente exige vigilância contínua e um compromisso inabalável com a segurança da informação.

\