Furto di credenziali: ChatGPT vittima degli hacker

L’argomento dell’Intelligenza Artificiale, ormai, sta imperversando a livello globale come una delle più grandi implementazioni dell’ultimo decennio. Ovviamente l’argomento non è nuovo, ma negli ultimi mesi si è affermato con forza ChatGPT, strumento che utilizza la AI generativa giungendo ad un livello del tutto nuovo. Come abbiamo spiegato anche in alcuni articoli precedenti, non sono poche le problematiche che questo strumento sviluppato da Open AI ha fatto sollevare, non ultime quelle relative alla privacy ed all’utilizzo dei dati, che in Italia ha addirittura portato ad una sospensione del servizio di un mese circa dopo le questioni poste dal garante.

Adesso, come è possibile verificare, ChatGPT è utilizzabile anche nel nostro paese senza problemi, ma gli esperti di cybersecurity di tutto il mondo si pongono di tanto in tanto alcune domande sull’effettiva sicurezza del servizio e sulla sua protezione. Non è sicuramente una buona notizia quindi quella che è stata diffusa solo pochi giorni fa da dei ricercatori che si occupano esattamente dei livelli di protezione di tutto ciò che è AI, ovvero il furto di almeno centomila accessi di utenti di ChatGPT.

Per fortuna, gli accessi rubati sembrano essere di proprietà di utenti non italiani ma principalmente di indiani, pakistani e brasiliani, con una netta maggioranza dei primi della lista. Ciò ovviamente non abbassa la gravità del furto, poiché i dati trafugati comprendono una lunga lista di informazioni su coloro che utilizzano il servizio e sono già stati rivenduti online da parte degli hacker. I vettori del furto sono stati dei malware riscontrati sui device delle vittime, pertanto si trattava di strumenti già infetti e non di una falla del servizio di OpenAI. Il cosiddetto “peccato originale” però, a detta degli esperti, è la mancanza dell’obbligatorietà dell’impostazione di autenticazione a più fattori, che per ChatGPT è infatti facoltativa. Questa pratica ovviamente è una sorta di viatico per gli hacker quando si tratta di prendere possesso di credenziali in modo semplice.

Come già accennato, i dispositivi di chi ha subito il furto dell’account erano stati precedentemente infettati da diversi malware, tra i quali figurano per la maggior parte Raccoon, Vidar e RedLine. Uno dei grandi problemi relativi a questo data leak è costituito dal fatto che ad affidarsi all’AI non sono solo singoli soggetti ma anche aziende, che utilizzano servizi come ChatGPT al fine di velocizzare le loro operazioni. Tendenzialmente, l’utente non cancella le proprie chat dopo averle consultate, pertanto quest’ultime restano disponibili e sono quindi trafugabili dagli hacker in casi come quello che stiamo descrivendo. Questo mette a repentaglio anche la privacy aziendale, oltre che individuale, dando potenzialmente in pasto agli hacker dei dati importanti.

Le istituzioni europee, con l’AI Act, ha tentato di introdurre proprio una misura che restringesse il più possibile la possibilità di diffusione di dati personali in rete a seguito di eventi come il furto di credenziali e non solo, ricevendo però da Open AI ed altre grandi aziende che stanno investendo in Intelligenza Artificiale, richieste per un allentamento di queste norme. Vedremo se questo evento aprirà finalmente ad una riflessione più seria riguardo alla protezione di singoli ed aziende dai rischi connessi all’utilizzo di AI generativa.

 

Fonte: 1