[14/04/2023] El comercio de credenciales robadas de cuentas ChatGPT, especialmente las de las cuentas premium, está en aumento en la dark web desde marzo, lo que permite a los ciberdelincuentes eludir las restricciones de geofencing de OpenAI y obtener acceso ilimitado a ChatGPT, según una investigación de Check Point.
"Durante el último mes, CPR (Check Point Research) ha observado un aumento de las conversaciones en foros clandestinos relacionadas con la filtración o venta de cuentas premium de ChatGPT comprometidas", afirmó Check Point en un blog. "La mayoría de esas cuentas robadas están siendo vendidas, pero algunos de los actores también comparten cuentas premium ChatGPT robadas de forma gratuita, para anunciar sus propios servicios o herramientas para robar las cuentas".
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Diversas actividades delictivas en torno a ChatGPT
Los investigadores han observado varios tipos de discusiones y operaciones relacionadas con ChatGPT en la dark web durante el último mes.
La última actividad en la dark web en términos de ChatGPT incluye la filtración y publicación gratuita de credenciales de cuentas ChatGPT, y el comercio de cuentas premium ChatGPT robadas.
Los ciberdelincuentes también están comerciando con herramientas de fuerza bruta y verificadores para ChatGPT. Estas herramientas permiten a los ciberdelincuentes piratear cuentas de ChatGPT ejecutando enormes listas de direcciones de correo electrónico y contraseñas, tratando de adivinar la combinación correcta para acceder a las cuentas existentes.
También se ofrece ChatGPT account as a service -un servicio dedicado que ofrece abrir cuentas premium de ChatGPT- muy probablemente utilizando tarjetas de pago robadas, anotó Check Point en su blog.
Configuración SilverBullet a la venta
Los ciberdelincuentes también están ofreciendo un archivo de configuración para SilverBullet que permite comprobar un conjunto de credenciales para la plataforma de OpenAI de forma automatizada, anotó Check Point.
SilverBullet es una suite de pruebas web que permite a los usuarios realizar peticiones hacia una aplicación web objetivo. Los ciberdelincuentes también la utilizan para llevar a cabo ataques de relleno de credenciales y comprobación de cuentas contra diferentes sitios web, y así robar cuentas de plataformas online.
En el caso de ChatGPT, según los investigadores, esto les permite robar cuentas a escala. El proceso está totalmente automatizado y puede iniciar entre 50 y 200 comprobaciones por minuto. Además, admite la implementación de proxy, lo que en muchos casos le permite saltarse diferentes protecciones de los sitios web contra este tipo de ataques.
"Otro ciberdelincuente que se centra únicamente en el abuso y el fraude contra los productos ChatGPT, incluso se hace llamar 'gpt4'. En sus hilos, ofrece a la venta no sólo cuentas de ChatGPT, sino también una configuración para otra herramienta automatizada que comprueba la validez de una credencial", señaló Check Point.
Actualización de por vida a ChatGPT Plus
Un ciberdelincuente de habla inglesa empezó a anunciar el 20 de marzo un servicio de cuenta de por vida ChatGPT Plus, con satisfacción 100% garantizada, indicó Check Point.
La actualización de por vida de una cuenta ChatGPT Plus normal abierta a través del correo electrónico proporcionado por el comprador cuesta 59,99 dólares, mientras que el precio legítimo original de OpenAI para este servicio es de 20 dólares al mes.
"Sin embargo, para reducir los costes, este servicio clandestino también ofrece la opción de compartir el acceso a la cuenta ChatGPT con otro ciberdelincuente por 24,99 dólares, de por vida", señala Check Point.
¿Qué se puede conseguir con las credenciales robadas de la cuenta ChatGPT?
Existe una gran demanda de credenciales robadas de cuentas premium de ChatGPT, ya que pueden ayudar a los ciberdelincuentes a superar las restricciones de geofencing que impone. ChatGPT tiene restricciones de geofencing que restringen el uso del servicio en ciertas geografías como Irán, Rusia y China.
Sin embargo, utilizando la API de ChatGPT, los ciberdelincuentes pueden saltarse las restricciones y utilizar también las cuentas premium, según Check Point.
Otro uso potencial para los ciberdelincuentes es obtener información personal. Las cuentas ChatGPT almacenan las consultas recientes del propietario de la cuenta.
"Así, cuando los ciberdelincuentes roban cuentas existentes, obtienen acceso a las consultas del propietario original de la cuenta. Esto puede incluir información personal, detalles sobre productos y procesos corporativos, y más", dijo Check Point en el blog.
En marzo, OpenAI, respaldada por Microsoft, reveló que un error en la biblioteca de código abierto del cliente Redis había provocado una interrupción de ChatGPT y una fuga de datos, en la que los usuarios podían ver la información personal y las consultas de chat de otros usuarios.
Según reconoció la empresa, se expusieron consultas de chat e información personal como nombres de suscriptores, direcciones de correo electrónico, direcciones de pago e información parcial de tarjetas de crédito de aproximadamente el 1,2% de los suscriptores de ChatGPT Plus.
Preocupación por la privacidad en torno a ChatGPT
En los últimos meses han surgido varios problemas de privacidad y seguridad en torno a ChatGPT. El regulador de privacidad de datos de Italia ya ha prohibido ChatGPT por supuestas violaciones de la privacidad relacionadas con la recopilación y el almacenamiento de datos personales por parte del chatbot. Las autoridades dijeron que levantarían la prohibición temporal de ChatGPT si OpenAI cumplía una serie de requisitos de protección de datos antes del 30 de abril.
El comisario alemán de protección de datos también ha advertido de que ChatGPT puede enfrentarse a un posible bloqueo en Alemania debido a problemas de seguridad de los datos.
Mientras tanto, a principios de esta semana, OpenAI anunció un programa de recompensas por fallas en el que invitaba a la comunidad mundial de investigadores de seguridad, hackers éticos y entusiastas de la tecnología a ayudar a la empresa a identificar y solucionar vulnerabilidades en sus sistemas de inteligencia artificial generativa.
Basado en el artículo de Apurva Venkat (CSO) y editado por CIO Perú