Mais de 101,1 mil credenciais de acesso ao ChatGPT vazaram na dark web nesta semana, revelando nomes de usuários e senhas dos adeptos da tecnologia de inteligência artificial. O Brasil é o terceiro país mais atingido pelo comprometimento, oriundo principalmente de vírus que roubam dados diretamente dos dispositivos dos utilizadores.
A região Ásia-Pacífico concentra a maior parte dos perfis expostos, com mais de 40,9 mil registros vazados. A Índia é o país mais atingido, com 12,6 mil contas, seguida pelo Paquistão, com 9,2 mil. Então aparece o Brasil, com 6,5 mil conjuntos de nomes de usuários e senhas catalogadas na dark web, enquanto Vietnã (4,7 mil) e Egito (4,5 mil) completam o ranking.
Além de nomes de usuário e senhas de um período entre junho de 2022 e maio deste ano, a exposição de credenciais também pode revelar informações sensíveis ou confidenciais dos usuários a partir do uso do ChatGPT, a partir de chats salvos nas contas comprometidas. “A maior ameaça é a exposição de conversas entre usuários e a inteligência artificial, que podem incluir outras informações confidenciais, como identificadores pessoais ou relacionados ao local de trabalho, incluindo dados corporativos confidenciais”, aponta Satnam Narang, engenheiro sênior de pesquisa da empresa de cibersegurança Tenable.
Os números aparecem em um relatório dos especialistas em cibersegurança do Group-IB, que também revelaram os malwares que participaram com as maiores parcelas destes volumes. Na primeira colocação está o conhecido vírus ladrão de dados Raccoon, responsável pelo comprometimento de mais de 77% das contas expostas; Vidar e RedLine aparecem na sequência com, respectivamente, 12,8% e 6,6%.
Conforme indica o Group-IB, o vazamento não está relacionado a uma falha de segurança ou comprometimento dos sistemas da OpenAI ou do ChatGPT, mas sim, a infecções ligadas aos dispositivos dos próprios usuários. “Malwares que roubam informações são capazes de furtas dados confidenciais armazenados em navegadores, como credenciais de usuário, cookies de sessão, histórico e senha”, explica Narang. “É provável que credenciais relacionadas a finanças, redes sociais e outras também tenham sido obtidas [da mesma forma].”
Os conjuntos especificamente relacionados ao ChatGPT, porém, não incluem mais informações além das credenciais de acesso. Entretanto, tais informações podem ser cruzadas com outro comprometimento recente relacionado à ferramenta; em março, a OpenAI confirmou o vazamento de dados de cartões de crédito de cerca de 1% de seus assinantes, juntamente com e-mails e trechos do histórico de bate-papos com a inteligência artificial.
Compiladas, tais informações são vendidas em blocos na dark web, em uma alternativa que se torna bastante interessante para os criminosos. No caso específico do ChatGPT, o maior ouro está na obtenção de perfis que sejam assinantes da plataforma de inteligência artificial, com contas que podem ser revendidas a terceiros por valores abaixo dos cobrados pelos próprios responsáveis pela tecnologia.
A primeira medida de segurança a ser tomada pelos usuários atingidos é a troca de senhas usadas na plataforma de inteligência artificial. As credenciais usadas devem ser únicas e complexas, bem como exclusivas para cada serviço; caso você tenha repetido as informações do ChatGPT em outra plataforma, é importante realizar a alteração lá também.
Como os usuários atingidos também têm um problema de infecção em seus dispositivos, é importante realizar uma varredura completa no PC e smartphone. Softwares de segurança ajudam a encontrar vírus e outros problemas de proteção de dados nestes aparelhos e devem ser mantidos sempre ativos e atualizados, assim como o sistema operacional e outros aplicativos instalados.
Por fim, é importante ficar atento aos sites acessados, prestando atenção se os domínios são oficiais e legítimos do serviço que se deseja utilizar. Na dúvida, não entregue credenciais de acesso nem faça registros com dados pessoais; o mesmo também vale para contatos ou links recebidos pelo WhatsApp, e-mail ou outros meios diretos de contato.
Além disso, Narang aponta a necessidade de ativação da autenticação em duas etapas no ChatGPT, em uma dica que vale também para outras plataformas sensíveis. Tal recurso, porém, se encontra desativado pela OpenAI, devendo ser implementado assim que possível novamente, principalmente nos casos em que a plataforma de IA for utilizada no cotidiano de trabalho.
Fonte: Canal Tech