Η OpenAI αντιμετώπισε ένα σοβαρό πρόβλημα διαρροής δεδομένων στο ChatGPT που θα μπορούσε να διαρρεύσει λεπτομέρειες συζήτησης σε εξωτερική διεύθυνση URL. Σύμφωνα με τον researcher που ανακάλυψε το error, η αντιμετώπιση δεν είναι τέλεια, έτσι οι επιτιθέμενοι μπορούν ακόμα να εκμεταλλευτούν την ευκαιρία υπό συγκεκριμένες συνθήκες.
See also: ChatGPT: Available again after a significant hiatus
Επιπλέον, οι έλεγχοι ασφαλείας δεν έχουν εφαρμοστεί ακόμη στην εφαρμογή iOS για το ChatGPT, οπότε ο κίνδυνος σε αυτήν την πλατφόρμα παραμένει.
The security investigator Johann Rehberger ανακάλυψε μια τεχνική για την αποκατάσταση δεδομένων του ChatGPT και το ανέφερε στην OpenAI τον Απρίλιο του 2023. Ο ερευνητής αργότερα μοιράστηκε πρόσθετες πληροφορίες τον Νοέμβριο του 2023 για τη δημιουργία κακόβουλων GPTs που εκμεταλλεύονται το ελάττωμα για να αποκτήσουν Accessed at σε χρήστες μέσω phish.
“Αυτό το GPT και οι αντίστοιχες οδηγίες αναφέρθηκαν άμεσα στην OpenAI στις 13 Νοεμβρίου 2023“, έγραψε ο ερευνητής σε αυτήν τη δήλωση.
“Ωστόσο, το εισιτήριο έκλεσε στις 15 Νοεμβρίου ως “Μη Εφαρμόσιμο”. Δύο ακόμα διερευνήσεις παρέμειναν αναπάντητες. Επομένως, φαίνεται καλύτερο να το μοιραστώ με το κοινό για ευαισθητοποίηση.“
Τα GPTs είναι εξατομικευμένα μοντέλα AI που προωθούνται ως “AI εφαρμογές“, εξειδικεύονται σε διάφορους ρόλους, όπως πράκτορες υποστήριξης πελατών, βοηθοί στη συγγραφή και μετάφραση, εκτέλεση ανάλυσης δεδομένων, δημιουργία συνταγών μαγειρικής βάσει των διαθέσιμων συστατικών, συλλογή δεδομένων για έρευνα και ακόμα και Games.
See also: ChatGPT comes to Microsoft Word via the Ghostwriter add-in
Μετά την έλλειψη απάντησης από τον προμηθευτή του chatbot, ο ερευνητής αποφάσισε να αποκαλύψει δημόσια τα ευρήματά του στις 12 Δεκεμβρίου 2023. Κατά την παρουσίαση, έδειξε ένα εξατομικευμένο GPT για το παιχνίδι τρίλιζα με το όνομα “The Thief!“, το οποίο μπορεί να μεταφέρει data συνομιλίας σε μια εξωτερική διεύθυνση URL που λειτουργεί από τον ερευνητή.
Η κλοπή δεδομένων περιλαμβάνει την απεικόνιση εικόνων με σήμανση καταστροφής και την εισαγωγή προτροπών, επομένως η επίθεση απαιτεί από το θύμα να υποβάλει μια κακόβουλη προτροπή που ο δράστης παρέχει άμεσα ή δημοσιεύει κάπου ώστε τα victims να ανακαλύψουν και να χρησιμοποιήσουν.
Εναλλακτικά, μπορεί να χρησιμοποιηθεί ένα κακόβουλο GPT, όπως απέδειξε ο Rehberger, και οι χρήστες που χρησιμοποιούν αυτό το GPT δεν θα αντιληφθούν ότι οι λεπτομέρειες της συνομιλίας τους, μαζί με τα μεταδεδομένα (χρονικά σημεία, αναγνωριστικό χρήστη, αναγνωριστικό συνεδρίας) και τεχνικά δεδομένα (διεύθυνση IP, συμβολοσειρές προκαλούντων) διαρρέουν σε τρίτους.
Αφού ο Rehberger published by τις λεπτομέρειες του σφάλματος στον ιστότοπό του, η OpenAI ανταποκρίθηκε στην κατάσταση και υλοποίησε ελέγχους στην πλευρά του Customer μέσω μιας κλήσης σε μια API επικύρωσης για να αποτρέψει την απεικόνιση εικόνων από μη ασφαλείς διευθύνσεις URL.
Για να προστατεύσετε τα προσωπικά σας δεδομένα, είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης για κάθε λογαριασμό σας. Αυτό μπορεί να βοηθήσει στην αποτροπή της πρόσβασης στα δεδομένα σας από ανεπιθύμητους χρήστες.
See also: ChatGPT: Accurately recognizes emotions much better than humans
Επιπλέον, είναι σημαντικό να κρατάτε το Software και το λειτουργικό σύστημα της συσκευής σας ενημερωμένο. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τα δεδομένα σας από νέες απειλές. Μια άλλη σημαντική στρατηγική είναι η χρήση δικτύων VPN όταν συνδέεστε στο διαδίκτυο από δημόσια δίκτυα Wi-Fi. Τα VPN μπορούν να κρυπτογραφήσουν τα δεδομένα σας, καθιστώντας τα αναγνώσιμα για τους επιτιθέμενους.
Επίσης, προσέξτε τις πληροφορίες που μοιράζεστε στα μέσα κοινωνικής δικτύωσης. Οι πληροφορίες που φαίνονται ακίνδυνες, όπως η ημερομηνία γέννησής σας ή η διεύθυνσή σας, μπορεί να χρησιμοποιηθούν από τους επιτιθέμενους για την παραβίαση των λογαριασμών σας.
Τέλος, είναι σοφό να χρησιμοποιείτε υπηρεσίες προστασίας ταυτότητας ή να παρακολουθείτε τακτικά τις αναφορές πιστώσεών σας για να εντοπίσετε οποιαδήποτε ύποπτη δραστηριότητα.
Source: bleepingcomputer
