La plateforme Threat Intelligence de Group-IB a identifié dans les journaux de logiciels malveillants échangés sur les marchés illicites du dark web 101 134 appareils infectés par des « info stealers » et contenant des informations d'identification ChatGPT sauvegardées.
Les logiciels malveillants de type « info stealers » collectent les cookies et informations d'identification enregistrées dans les navigateurs, numéros de cartes bancaires, portefeuilles cryptographiques, historiques de navigation et autres informations récupérées à partir des navigateurs installés sur les ordinateurs infectés, ou provenant de messageries instantanées et d'e-mails.
Group IB note que « les voleurs fonctionnent de manière non sélective » et que ce type de logiciel malveillant vise à infecter le plus grand nombre d'ordinateurs possible par le biais de l'hameçonnage ou d'autres moyens afin de collecter autant de données que possible.
Les « info stealers » sont ainsi devenus « une source majeure de données personnelles compromises », et les journaux contenant des informations compromises récoltées sont activement échangés sur les places de marché du dark web. Sont notamment commercialisées les listes de noms de domaines trouvés dans les journaux ainsi que les informations sur l'adresse IP de l'hôte compromis, ce qui facilite l'accès des attaquants ultérieurs :
« Par défaut, ChatGPT stocke l'historique des requêtes des utilisateurs et des réponses de l'IA. Par conséquent, un accès non autorisé aux comptes ChatGPT peut exposer des informations confidentielles ou sensibles, qui peuvent être exploitées pour des attaques ciblées contre les entreprises et leurs employés. »
41 000 des appareils infectés l'ont été dans les pays d'Asie-Pacifique (dont près de 13 000 en Inde, et plus de 9 000 au Pakistan), 25 000 au Moyen-Orient et en Afrique, et 17 000 en Europe (dont près de 3 000 en France).
Group IB conseille aux utilisateurs de mettre en œuvre l'authentification à deux facteurs pour se prémunir de tout risque de compromission.
Commentaires (16)
#1
Sur ce point OpenAI est à la ramasse totale. Je n’ai jamais trouvé de section dans le profil pour savoir comment modifier son mot de passe si besoin, et aucun MFA proposé nulle part.
A croire qu’en dehors de leur compétence sur les technologies de l’IA, c’est juste un stagiaire qui gère le front Web (ou leur modèle GPT, ce qui revient au même).
#1.1
Ici, il est question de ChatGPT. Je n’en suis pas utilisateur, mais est-ce qu’OpenAI stocke des données ou des termes qui pourraient être utilisés à des fins malveillante sur une compte OpenAI ? Si oui, ça entre en effet dans le même cadre.
#1.2
Il stocke l’historique des conversations. Suivant ce que tu as demandé, cela peut être utilisé à des fins malveillantes.
#1.3
ChatGPT est un service opéré par OpenAI pour qui il faut un compte chez eux pour y accéder. Les comptes en question sont des comptes managés par OpenAI donc permettant aussi d’accéder aux API des autres solutions (Dall-E, GPT, etc), aux crédits associé, etc.
Dissocier ChatGPT et OpenAI sur la gestion du compte reviendrait à dire qu’une adresse Gmail n’est pas gérée par un compte Google. C’est un raccourci que je trouve regrettable car la surface d’attaque est assez large en cas de compromission.
#1.4
OK, c’est noté. Merci
#2
Donc la fuite de données est plutôt du côté du navigateur ?
#2.1
Non, des « ordinateurs infectés » (Windows ?), le navigateur ne peux (quasiment) rien faire contre un virus déjà installé…
#2.2
Le sujet de la news n’est pas la méthode utilisée pour obtenir l’info, mais que cette info provient de plus en plus de ChatGPT. En d’autres mots, le ciblage “d’écoute” semble s’orienter vers les IA. Ce qui me semble logique si de plus en plus de monde s’intéresse à cette technologie et qu’il est plus que probable de trouver des informations “compromissibles”
#3
Y a-t-il un moyen de vérifier si on fait partie des malheureux élus ?
#4
D’où la bonne idée de naviguer en mode privé le plus possible et de demander un wipe complet des données du navigateur à chaque fermeture.
#4.1
Je ne pense pas que ça change quoi que ce soit.
Si ton ordi est infecté, ils auront accès à tes identifiants quand même.
#5
#5.1
Ca explique que j’avais pas trouvé si le MFA était dispo ou pas … Aucun bouton dispo sur mon compte.
C’est juste complètement débile au regard du passif de fuites de comptes et données bancaires.
#5.2
Oh mais c’est tellement une révolution que ce n’est pas grave ! La prochaine maj corrigera la béta actuelle 😊 On ne peut pas être parfait sur tout et surtout, dès le début. Hum, on me souffle que peut être on est nul partout
Quelqu’un a posé la question à Chat GPT sur la qualité de la gestion de la sécurité de son service pour rire? Je n’ai pas de compte et pas envie d’en créer, je l’avoue.
#6
En version GPT3/4 seules il dira rien d’intéressant, surtout que le modèle est figé à fin 2021.
En version GPT4 + Browse mode, il est capable de produire un rapport sur la gestion de la sécurité du service car il va se baser sur les sources externes.
J’ai demandé un rapport sur la sécurité d’OpenAI sur 2023, il m’a listé tous les incidents connus qui ont été publiés. Puis j’ai demandé de commenter la qualité de la sécurité de l’entreprise en se basant sur ce rapport et l’outil est relativement équilibré. Après faut pas oublier qu’il est conçu pour être très politiquement correct et donc le texte produit ne cherchera pas à enfoncer le clou comme peut le faire un journaliste ou un commentateur.
J’ai profité du fait que le 2FA soit désactiver pour lui notifier ce fait et pareil, la réponse est en mode pour et contre et très lissée (“oui c’est une mauvaise chose de l’avoir désactivé mais doit y avoir des raisons” en résumé), comme usuellement avec les LLM de ce type.
#6.1
Merci