A ESET, empresa líder em detecção proativa de ameaças, analisa a falha que permitiu aos usuários ver perguntas do histórico de pesquisa de outras pessoas no ChatGPT e expôs informações pessoais de assinantes do plano pago do serviço, que inclui nome completo, endereço de e-mail associado ao pagamento, os últimos quatro dígitos e a data de validade do cartão de crédito cadastrado.
Nas últimas semanas, usuários do Twitter e Reddit começaram a relatar que em seu histórico apareciam consultas feitas por outros usuários. Em alguns casos, em outros idiomas. Como confirmado pela OpenAI em um comunicado, tudo isso fez com que o serviço ChatGPT fosse suspenso por um tempo até que o bug fosse corrigido e, em seguida, o serviço fosse restaurado.
Além do histórico, algumas pessoas também relataram que a página de pagamento do ChatGPT Plus mostrava o endereço de e-mail de outros usuários.
A empresa afirmou ter entrado em contato com os afetados pela exposição dessas informações e está confiante de que os dados pessoais não estão mais em risco. A OpenAI ainda confirmou que a exposição foi ocasionada por um bug que estava no cliente da biblioteca de código aberto Redis, e que enviou um patch para a equipe de manutenção do Redis que já corrigiu o erro.
Além do bug que permitia a exposição de informações, foi relatada uma vulnerabilidade que permitia ataques de Web Cache Deception. Esta vulnerabilidade, que já foi corrigida, permitia-lhe roubar contas de terceiros, ver o histórico de consultas e aceder a dados de pagamento de contas.
A equipe de pesquisa da ESET alertou recentemente sobre diferentes golpes e fraudes que circularam aproveitando o sucesso da plataforma. Entre os exemplos estava uma extensão falsa para o Google Chrome chamada “Acesso rápido ao Chat GPT”, que os cibercriminosos usavam para roubar contas do Facebook, que por sua vez eram usadas para criar bots e exibir malvertising. No entanto, esta não foi a única extensão maliciosa a tirar proveito do nome da nova tecnologia, já que pesquisadores revelaram uma nova variante da mesma extensão maliciosa que rouba contas da rede social. Neste caso, é uma versão trojanizada de uma extensão legítima chamada “ChatGPT para o Google”.
“Como podemos ver, o ChatGPT é atraente para atores mal-intencionados, seja para usar a ferramenta para fins maliciosos, bem como para se passar por eles e enganar pessoas desavisadas. Essa tendência provavelmente continuará e continuaremos a ver casos em que são feitas tentativas de explorar vulnerabilidades ou realizar fraudes em seu nome”, afirma Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET.
