Entrar
bukib
0 bukibs
Columbus, Ohio
Hora local: 07:07
Temperatura: 1.1°C
Probabilidade de chuva: 0%

Falha no ChatGPT permitia roubar dados do Gmail sem clicar em nada

Vulnerabilidade no ChatGPT Permitia Roubo de Dados do Gmail

A empresa de cibersegurança Radware descobriu uma falha no recurso Deep Research (Pesquisa Profunda) do ChatGPT, que permitia coletar dados do Gmail de usuários sem o seu conhecimento. O recurso foi lançado em fevereiro e é projetado para analisar grandes quantidades de informação.

A falha foi corrigida no último dia 3 de setembro, e a Radware não encontrou evidências de que hackers tenham explorado a brecha para roubo de dados. No entanto, é possível que agentes maliciosos tenham guardado informações e as usem em ataques de phishing e outras iniciativas futuras.

Como Funcionava a Vulnerabilidade

O Deep Research foi uma maneira que a OpenAI encontrou de permitir pesquisas mais robustas e respostas rápidas para perguntas complexas, trabalhando com maiores quantidades de dados online. Ela está disponível apenas em planos pagos do modelo de linguagem de larga escala (LLM) e, com autorização dos usuários, pode se conectar às suas contas do Gmail.

Para testar a vulnerabilidade, os especialistas da Radware enviaram e-mails a si mesmos com instruções escondidas para que o Deep Research pesquisasse a caixa de entrada do Gmail por informações pessoais, como endereço e nome completo. A IA deveria, em seguida, enviar os dados coletados a um endereço da web sob controle dos pesquisadores.

Consequências e Prevenção

Segundo o Diretor de Pesquisa em Ameaças da empresa de segurança, Pascal Geenens, o usuário que teria os dados roubados sequer precisaria clicar em alguma coisa para que os cibercriminosos ganhassem acesso às suas informações — bastaria ter vinculado o Gmail ao buscador de LLM.

A OpenAI afirmou que pesquisadores costumam testar sistemas de forma a simular ataques, e considerou a análise uma adição bem-vinda; ela ajudou na melhoria das ferramentas da empresa. A segurança dos modelos de linguagem, segundo a companhia, é prioridade, e suas equipes seguem otimizando e aumentando os padrões da tecnologia para evitar brechas como essa.

  • ChatGPT falso espalha ataques de ransomware, avisa Microsoft
  • Teste de segurança viu ChatGPT disposto a instruir sobre bombas, armas e crimes
  • ChatGPT pode ser usado para indicar brechas e criar ataques cibernéticos

Este conteúdo pode conter links de compra.

Fonte: link