Uważaj na wtyczki do ChatGPT
W ostatnim czasie eksperci ds. cyberbezpieczeństwa odkryli potencjalne zagrożenia związane z używaniem wtyczek innych firm dostępnych dla ChatGPT od OpenAI. Okazuje się, że luki w zabezpieczeniach tych wtyczek mogą prowadzić do przejęcia kont użytkowników, a także umożliwiać cyberprzestępcom dostęp do wrażliwych danych.
Według najnowszych badań opublikowanych przez Salt Labs, luki w zabezpieczeniach wykryte we wtyczkach ChatGPT mogą umożliwić atakującym instalowanie złośliwego oprogramowania bez zgody użytkowników. Co więcej, te luki mogą doprowadzić również do przejęcia kont na witrynach stron trzecich, takich jak GitHub.
Wtyczki ChatGPT niestety często mogą stać się narzędziem w rękach cyberprzestępców.
Szybkie działania OpenAI
W odpowiedzi na zgłoszone luki OpenAI podjął działania mające na celu ograniczenie ryzyka dla użytkowników. Od marca 2024 r. użytkownicy ChatGPT nie mogą już instalować nowych wtyczek ani tworzyć nowych rozmów przy użyciu istniejących pluginów zewnętrznych.
Należy jednak pamiętać, że problemy z zabezpieczeniami wtyczek mogą nadal stanowić zagrożenie dla tych, którzy zainstalowali je wcześniej.
Cyberprzestępcy wykorzystują luki we wtyczkach
Jedną z luk wykrytych przez Salt Labs jest wykorzystanie przepływu pracy OAuth w celu nakłonienia użytkownika do zainstalowania dowolnej wtyczki. Cyberprzestępcy mogą skorzystać z faktu, że ChatGPT nie sprawdza, czy użytkownik faktycznie zatwierdził instalację plugina, co daje im możliwość przejęcia kontroli nad danymi ofiary.
Inną luką, którą wykorzystują cyberprzestępcy, jest brak uwierzytelniania żądania w punkcie końcowym „auth.pluginlab[.]ai/oauth/authorized”. Dzięki temu atakujący mogą przejąć kontrolę nad kontem ofiary na platformach takich jak GitHub.
Rekomendacje dla użytkowników
Korzystanie z zewnętrznych wtyczek do ChatGPT, jak widać, niestety wiąże się z ryzykiem. Warto ograniczyć instalowanie nowych wtyczek i regularnie monitorować swoje konto w celu wykrycia podejrzanej aktywności.
Warto również pamiętać o aktualizacji oprogramowania oraz stosowaniu ogólnych zasad bezpieczeństwa online, takich jak ostrożność przy klikaniu w podejrzane linki czy unikanie udostępniania poufnych danych.
Należy podkreślić, że to nie jedyny problem związany z cyberbezpieczeństwem w kontekście ChatGPT, który się ostatnio wydarzył. W czerwcu 2023 r. Group-IB odkryło ponad 100 tys. przejętych kont użytkowników ChatGPT, które trafiły na czarny rynek w darkwebie. Większość kont pochodziła z rejonu Azji i Pacyfiku.
Wykorzystanie wtyczek do ChatGPT może stwarzać potencjalne zagrożenia dla użytkowników, w tym możliwość przejęcia konta przez cyberprzestępców. Warto być świadomym tych zagrożeń i podejmować odpowiednie środki ostrożności, aby dbać o swoje cyberbezpieczeństwo.
