ESET alerta sobre um bug que expôs o histórico de perguntas dos usuários e informações de pagamento dos assinantes do ChatGPT Plus
– A ESET, empresa líder em detecção proativa de ameaças, analisa a falha que permitiu aos usuários ver perguntas do histórico de pesquisa de outras pessoas no ChatGPT e expôs informações pessoais de assinantes do plano pago do serviço, que inclui nome completo, endereço de e-mail associado ao pagamento, os últimos quatro dígitos e a data de validade do cartão de crédito cadastrado.
Nas últimas semanas, usuários do Twitter e Reddit começaram a relatar que em seu histórico apareciam consultas feitas por outros usuários. Em alguns casos, em outros idiomas. Como confirmado pela OpenAI em um comunicado, tudo isso fez com que o serviço ChatGPT fosse suspenso por um tempo até que o bug fosse corrigido e, em seguida, o serviço fosse restaurado.
Usuário consulta o OpenAI para saber se ele foi hackeado ao ver idiomas estrangeiros em seu histórico de bate-papo.
Além do histórico, algumas pessoas também relataram que a página de pagamento do ChatGPT Plus mostrava o endereço de e-mail de outros usuários:
Usuário avisa que a página de pagamento do ChatGPT Plus, alegou ter enviado um SMS de verificação para um número desconhecido e que ao enviar um e-mail o endereço cadastrado também era diferente do seu.
A empresa afirmou ter entrado em contato com os afetados pela exposição dessas informações e está confiante de que os dados pessoais não estão mais em risco. A OpenAI ainda confirmou que a exposição foi ocasionada por um bug que estava no cliente da biblioteca de código aberto Redis, e que enviou um patch para a equipe de manutenção do Redis que já corrigiu o erro.
Além do bug que permitia a exposição de informações, foi relatada uma vulnerabilidade que permitia ataques de Web Cache Deception. Esta vulnerabilidade, que já foi corrigida, permitia-lhe roubar contas de terceiros, ver o histórico de consultas e aceder a dados de pagamento de contas.
Gal Nagli afirma que relatou à equipe de OpenAI sobre uma vulnerabilidade crítica de aquisição de conta (agora corrigida) que afetou o ChatGPT e permitiu que eles assumissem uma conta, visualizassem seu histórico de bate-papo e acessassem informações de faturamento.
A equipe de pesquisa da ESET alertou recentemente sobre diferentes golpes e fraudes que circularam aproveitando o sucesso da plataforma. Entre os exemplos estava uma extensão falsa para o Google Chrome chamada “Acesso rápido ao Chat GPT”, que os cibercriminosos usavam para roubar contas do Facebook, que por sua vez eram usadas para criar bots e exibir malvertising. No entanto, esta não foi a única extensão maliciosa a tirar proveito do nome da nova tecnologia, já que pesquisadores revelaram uma nova variante da mesma extensão maliciosa que rouba contas da rede social. Neste caso, é uma versão trojanizada de uma extensão legítima chamada “ChatGPT para o Google”.
“Como podemos ver, o ChatGPT é atraente para atores mal-intencionados, seja para usar a ferramenta para fins maliciosos, bem como para se passar por eles e enganar pessoas desavisadas. Essa tendência provavelmente continuará e continuaremos a ver casos em que são feitas tentativas de explorar vulnerabilidades ou realizar fraudes em seu nome”, afirma Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET.
Para saber mais sobre segurança da informação, visite o portal de notícias ESET
Por outro lado, a ESET convida você a conhecer Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir acesse este link.
Sobre a ESET
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite nosso site ou siga-nos no LinkedIn, Facebook e Twitter.
Copyright © 1992 – 2022. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes e marcas são marcas registradas de suas respectivas empresas.
