Allarme cybersecurity per ChatGPT: le credenziali di accesso di circa 100mila persone sono state compromesse e scambiate sul dark web. Con questi dati è possibile accedere alla cronologia delle chat e quindi a informazioni riservate.
A lanciare l’allarme è un rapporto di Group-IB, che mette in dubbio la sicurezza delle piattaforme AI, come ChatGPT.
Per ora l’Italia non sembra nel mirino, quindi gli utenti italiani di ChaGPT possono stare relativamente tranquilli. L’India risulta essere il paese più colpito, seguita da Pakistan e Brasile.
ChatGPT, oltre 100mila dispositivi infettati da malware
Group-IB ha identificato oltre 10omail dispositivi infettati da malware (trojan e spyware) che hanno rubato le credenziali di accesso degli utenti a ChatGPT consegnandole ai criminali, per poi essere collezionate messe in vendita online. Questa rivelazione solleva nuovi interrogativi sulla sicurezza delle piattaforme AI e sulla necessità di regolamentazioni adeguate. Preoccupazioni che molti esperti, tra cui Elon Musk, avevano già espresso.
Va evidenziato che in questo caso si sono sfruttati accessi malevoli ai dispositivi già precedentemente infettati per rubare le credenziali di ChatGPT. Gli utenti che utilizzano 2FA (autenticazione a doppio fattore) sono sempre in minoranza rispetto allo standard, inoltre la piattaforma lo offre come opzione facoltativa all’iscrizione dell’utente, quindi gran parte evita di aggiungere questa seconda barriera protettiva nei propri account. Tra i dati analizzati dalla ricerca, è stato riscontrato che quasi l’80% di queste credenziali è stato esfiltrato con il malware Raccoon, seguito da circa 13 mila account rinvenienti da dispositivi compromessi con Vidar e 6700 con RedLine.
L’importanza della sicurezza dei dati
Questo evento mette in luce l’importanza di affrontare la sicurezza dei dati in un contesto in cui sempre più aziende e individui si affidano a piattaforme di intelligenza artificiale generativa come ChatGPT per aumentare la produttività. Infatti, compromettendo le credenziali, si accede al contenuto del profilo ChatGPT, che può contenere anche informazioni sensibili, se utilizzato a livello aziendale. Nonché tutta la cronologia delle “chat” intraprese con il bot che, per impostazione predefinita, vengono sempre automaticamente salvate e conservate. Anche in questo caso gli utenti che eliminano le proprie conversazioni passate sono sempre in minoranza, lasciando così esposte le informazioni trattate. Che possono contenere dati personali e informazioni riservate dell’azienda.
Il coinvolgimento di aziende di alto profilo come OpenAI, Microsoft e Google nel processo di regolamentazione dell’intelligenza artificiale, solleva interrogativi sulla priorità della sicurezza dei dati. Secondo una relazione di Time Magazine infatti, queste aziende hanno fatto pressioni per un regime regolamentare meno stringente nell’AI Act, recentemente introdotto dall’Unione Europea.
Le conseguenze di una violazione delle credenziali di accesso a ChatGPT sono significative. Gli utenti possono aver condiviso informazioni sensibili con l’AI generativa. La divulgazione di tali dati può portare a gravi conseguenze per la privacy degli individui, il furto di identità e altri tipi di frodi mirate.
