Der Handel mit gestohlenen Zugangsdaten für ChatGPT-Konten, insbesondere für Premium-Konten, ist im Dark Web seit März auf dem Vormarsch und ermöglicht es Cyberkriminellen laut einem Bericht der Studie von Check Point, OpenAI-Geofencing-Beschränkungen zu umgehen und uneingeschränkten Zugriff auf ChatGPT zu erhalten.
„Im vergangenen Monat hat CPR (Check Point Research) eine Zunahme von Gesprächen in Untergrundforen im Zusammenhang mit der Offenlegung oder dem Verkauf kompromittierter ChatGPT-Premiumkonten beobachtet“, sagte Check Point in einem Blogbeitrag. „Die meisten dieser gestohlenen Konten werden verkauft, aber einige der Akteure geben auch gestohlene ChatGPT-Premium-Konten kostenlos weiter, um für ihre eigenen Dienste oder Tools zum Diebstahl der Konten zu werben.“
Verschiedene kriminelle Aktivitäten rund um ChatGPT
Forscher haben im vergangenen Monat verschiedene Arten von ChatGPT-bezogenen Diskussionen und Austausch im Dark Web beobachtet.
Die neueste Dark-Web-Aktivität in Bezug auf ChatGPT umfasst das Durchsickern und kostenlose Posten von ChatGPT-Kontoanmeldeinformationen und den Handel mit gestohlenen ChatGPT-Premium-Konten.
Cyberkriminelle tauschen auch Verifizierungs- und Brute-Force-Tools für ChatGPT aus. Diese Tools ermöglichen es Cyberkriminellen, sich in ChatGPT-Konten zu hacken, indem sie riesige Listen mit E-Mail-Adressen und Passwörtern ausführen und versuchen, die richtige Kombination zu erraten, um Zugriff auf bestehende Konten zu erhalten.
Ebenfalls angeboten wird ChatGPT Account as a Service, ein dedizierter Dienst, der die Eröffnung von Premium-ChatGPT-Konten anbietet, höchstwahrscheinlich mit gestohlenen Zahlungskarten, so Check Point in seinem Blogbeitrag.
SilverBullet-Konfiguration zu verkaufen
Cyberkriminelle bieten auch eine Konfigurationsdatei für SilverBullet an, die eine Reihe von Anmeldeinformationen für die OpenAI-Plattform auf automatisierte Weise überprüfen kann, so Check Point.
SilverBullet ist eine Web-Test-Suite, mit der Benutzer Anfragen an eine Ziel-Webanwendung stellen können. Es wird auch von Cyberkriminellen verwendet, um Credential-Stuffing- und Kontoverifizierungsangriffe gegen verschiedene Websites durchzuführen, um Konten für Online-Plattformen zu stehlen.
Im Fall von ChatGPT ermöglicht dies den Forschern zufolge, Konten in großem Umfang zu kapern. Der Prozess ist vollautomatisiert und kann zwischen 50 und 200 Prüfungen pro Minute anstoßen. Darüber hinaus unterstützt es die Proxy-Implementierung, die es Ihnen in vielen Fällen ermöglicht, verschiedene Schutzmaßnahmen auf Websites gegen solche Angriffe zu umgehen.
„Ein weiterer Cyberkrimineller, der es nur auf Missbrauch und Betrug an ChatGPT-Produkten abgesehen hat, nannte sich sogar ‚gpt4‘. In seinen Threads bietet er nicht nur ChatGPT-Konten zum Verkauf an, sondern auch ein Setup für ein anderes automatisiertes Checkpoint-Tool, das die Gültigkeit einer Kennung überprüft.“ “, sagte Checkpoint.
Lebenslanges Upgrade auf ChatGPT Plus
Ein englischsprachiger Cyberkrimineller begann am 100. März mit der Werbung für einen lebenslangen ChatGPT Plus-Kontodienst mit einer 20-prozentigen Zufriedenheitsgarantie, so Check Point.
Ein lebenslanges Upgrade von einem normalen ChatGPT Plus-Konto, das über die vom Käufer bereitgestellte E-Mail eröffnet wurde, kostet 59.99 €, während der ursprüngliche legitime Preis von OpenAI für den Dienst 20 € pro Monat beträgt.
„Um Kosten zu sparen, bietet dieser geheime Dienst jedoch auch die Option, den Zugriff auf das ChatGPT-Konto mit einem anderen Cyberkriminellen für 24.99 € lebenslang zu teilen“, sagte Check Point.
Was kann mit gestohlenen ChatGPT-Kontoanmeldeinformationen getan werden?
Es besteht eine hohe Nachfrage nach Anmeldeinformationen, die von ChatGPT-Premiumkonten gestohlen wurden, da sie Cyberkriminellen helfen können, die von ihnen auferlegten Geofencing-Beschränkungen zu umgehen. ChatGPT hat Geofencing-Einschränkungen, die die Nutzung des Dienstes in bestimmten geografischen Gebieten wie Iran, Russland und China einschränken.
Durch die Verwendung der ChatGPT-API können Cyberkriminelle jedoch die Beschränkungen umgehen und auch Premium-Konten verwenden, so Check Point.
Eine weitere potenzielle Anwendung für Cyberkriminelle ist die Erlangung persönlicher Informationen. ChatGPT-Konten speichern die letzten Anfragen des Kontoinhabers.
„Wenn Cyberkriminelle also bestehende Konten stehlen, haben sie Zugriff auf die Anfragen des ursprünglichen Kontoinhabers. Dies kann personenbezogene Daten, Details zu Produkten und Prozessen des Unternehmens usw. umfassen. Check Point sagte in dem Blogbeitrag.
Im März enthüllte das von Microsoft unterstützte OpenAI, dass ein Fehler in der Open-Source-Redis-Client-Bibliothek dazu geführt hatte, dass ChatGPT abstürzte und Daten preisgab, wo Benutzer die persönlichen Informationen anderer Personen und die Chat-Anfragen der Benutzer sehen konnten.
Chat-Anfragen und persönliche Informationen wie Abonnentennamen, E-Mail-Adressen, Zahlungsadressen und teilweise Kreditkarteninformationen von etwa 1,2 % der ChatGPT Plus-Abonnenten wurden offengelegt, räumte die Gesellschaft ein.
Datenschutzprobleme in ChatGPT
In den letzten Monaten gab es mehrere Datenschutz- und Sicherheitsprobleme im Zusammenhang mit ChatGPT. Die italienische Datenschutzbehörde hat ChatGPT bereits wegen mutmaßlicher Datenschutzverletzungen im Zusammenhang mit der Erhebung und Speicherung personenbezogener Daten durch den Chatbot verboten. Die Behörden haben angekündigt, das vorübergehende Verbot von ChatGPT aufzuheben, wenn OpenAI bis zum 30. April eine Reihe von Datenschutzanforderungen erfüllt.
Der deutsche Datenschutzbeauftragte hat auch davor gewarnt, dass ChatGPT aufgrund von Datenschutzproblemen in Deutschland möglicherweise gesperrt werden könnte.
In der Zwischenzeit kündigte OpenAI Anfang dieser Woche ein Bug-Bounty-Programm an, das die globale Gemeinschaft von Sicherheitsforschern, ethischen Hackern und Technologiebegeisterten einlädt, dem Unternehmen dabei zu helfen, Schwachstellen in seinen Sicherheitssystemen zu identifizieren und zu beheben.
OpenAI verteilt Geldprämien von 200 € für Funde mit geringem Schweregrad bis zu 20,000 € für außergewöhnliche Funde.
Copyright © 2023 IDG Communications, Inc.