据一家新加坡网络安全公司称,在过去的一年里,流行的人工智能聊天机器人ChatGPT的10万多个登录凭证被泄露并在暗网上交易。
Group-IB于6月20日发表的一篇博客文章透露,2022年6月至2023年5月期间,有超过101,000台包含OpenAI机器人登录信息的设备在暗网市场上进行了交易。
Group-IB的威胁情报负责人Dmitry Shestakov称,这个数字是“Group-IB分析的受窃取者后门感染的设备的日志数量”。
“每条日志都至少包含ChatGPT的一个登录凭证和密码的组合。”Shestakov补充道。
今年5月,在线暗网市场上出现了近27000个ChatGPT相关凭证的高峰。
在过去的一年里,亚太地区出售的被盗登录数量最多,在近10万个数字中占了约40%。
印度的登录凭证信息以超过12,500条位居榜首,而美国的登录凭证泄露数量位居第六,有近3,000条信息。法国在总体排名中排名第七,落后于美国,但在欧洲排名第一。
ChatGPT帐户可以直接通过OpenAI创建。此外,用户可以选择使用谷歌、微软或苹果账户登录并使用该服务。
虽然对注册方法的分析超出了该公司的研究范围,但Shestakov表示,可以合理地假设主要是采用“直接身份验证方法”的帐户被利用。然而,OpenAI不应为被利用的登录行为负责:
“所确定的包含已保存ChatGPT凭据的日志并不是ChatGPT基础设施任何漏洞造成的。”
Group-IB在其博客文章中表示,它注意到使用ChatGPT工作的员工数量有所增加。它警告说,由于默认情况下存储用户查询和聊天记录,因此未经授权的用户可能会泄露有关公司的机密信息。
这些信息可能会被其他人利用,来对公司或个人员工进行攻击。
Shestakov说,“世界各地数以千计的个人用户设备”被网络犯罪分子感染,以窃取信息”。他认为这凸显了定期更新软件和使用双因素身份验证的重要性。
有趣的是,该公司指出新闻稿是在ChatGPT的协助下撰写的。