A ESET analisa a falha que permitiu aos usuários ver perguntas do histórico de pesquisa de outras pessoas no ChatGPT e expôs informações pessoais de assinantes do plano pago do serviço, que inclui nome completo, endereço de e-mail associado ao pagamento, os últimos quatro dígitos e a data de validade do cartão de crédito cadastrado.…
A ESET analisa a falha que permitiu aos usuários ver perguntas do histórico de pesquisa de outras pessoas no ChatGPT e expôs informações pessoais de assinantes do plano pago do serviço, que inclui nome completo, endereço de e-mail associado ao pagamento, os últimos quatro dígitos e a data de validade do cartão de crédito cadastrado.
Nas últimas semanas, usuários do Twitter e Reddit começaram a relatar que em seu histórico apareciam consultas feitas por outros usuários. Em alguns casos, em outros idiomas. Como confirmado pela OpenAI em um comunicado, tudo isso fez com que o serviço ChatGPT fosse suspenso por um tempo até que o bug fosse corrigido e, em seguida, o serviço fosse restaurado.
Usuário consulta o OpenAI para saber se ele foi hackeado ao ver idiomas estrangeiros em seu histórico de bate-papo.
Além do histórico, algumas pessoas também relataram que a página de pagamento do ChatGPT Plus mostrava o endereço de e-mail de outros usuários:
Usuário avisa que a página de pagamento do ChatGPT Plus, alegou ter enviado um SMS de verificação para um número desconhecido e que ao enviar um e-mail o endereço cadastrado também era diferente do seu.
Gal Nagli afirma que relatou à equipe de OpenAI sobre uma vulnerabilidade crítica de aquisição de conta (agora corrigida) que afetou o ChatGPT e permitiu que eles assumissem uma conta, visualizassem seu histórico de bate-papo e acessassem informações de faturamento.
A equipe de pesquisa da ESET alertou recentemente sobre diferentes golpes e fraudes que circularam aproveitando o sucesso da plataforma. Entre os exemplos estava uma extensão falsa para o Google Chrome chamada “Acesso rápido ao Chat GPT”, que os cibercriminosos usavam para roubar contas do Facebook, que por sua vez eram usadas para criar bots e exibir malvertising. No entanto, esta não foi a única extensão maliciosa a tirar proveito do nome da nova tecnologia, já que pesquisadores revelaram uma nova variante da mesma extensão maliciosa que rouba contas da rede social. Neste caso, é uma versão trojanizada de uma extensão legítima chamada “ChatGPT para o Google”.
“Como podemos ver, o ChatGPT é atraente para atores mal-intencionados, seja para usar a ferramenta para fins maliciosos, bem como para se passar por eles e enganar pessoas desavisadas. Essa tendência provavelmente continuará e continuaremos a ver casos em que são feitas tentativas de explorar vulnerabilidades ou realizar fraudes em seu nome”, afirma Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET.
