Nuove scoperte svelano falle di sicurezza che consentono agli hacker di rubare informazioni sensibili da chatGPT
ChatGPT, il popolare large language model di OpenAI, è stato recentemente scoperto essere vulnerabile ad attacchi informatici che sfruttano i plugin di terze parti. Questi plugin, progettati per estendere le funzionalità di ChatGPT con l’accesso a informazioni aggiornate, calcoli complessi o servizi esterni, si sono rivelati un bersaglio allettante per i malintenzionati.
Nuove ricerche di Salt Labs hanno portato alla luce preoccupanti falle di sicurezza che potrebbero consentire agli aggressori di:
Installare plugin malevoli: sfruttando una vulnerabilità nel processo di autenticazione OAuth, gli hacker possono ingannare gli utenti e fargli installare plugin dannosi senza il loro consenso.
Impadronirsi di account su siti terzi: problemi con PluginLab, ad esempio, permettono di dirottare gli account su piattaforme come GitHub, consentendo l’accesso a repository di codice sorgente sensibili.
Rubare credenziali di plugin: un bug scoperto in plugin come Kesem AI permette agli hacker di carpire le credenziali di accesso associate al plugin stesso attraverso link manipolati.
Queste falle si aggiungono ad altre vulnerabilità emerse di recente:
Imperva ha individuato due falle XSS (cross-site scripting) che, se combinate, potrebbero consentire agli hacker di prendere il controllo di qualsiasi account.
Johann Rehberger, ricercatore di sicurezza, ha dimostrato come creare GPT personalizzati per rubare credenziali utente e inviarle a server esterni.
OpenAI sta agendo per mitigare i rischi:
A partire dal 19 marzo 2024, gli utenti non potranno più installare nuovi plugin o interagire con quelli esistenti.
L’azienda sta puntando su GPT, versioni personalizzate di ChatGPT sviluppate per scopi specifici e con minori dipendenze da servizi di terze parti.
Disinstallare tutti i plugin di terze parti attualmente in uso su ChatGPT.
Valutare il passaggio a GPT per sfruttare le funzionalità avanzate di ChatGPT con maggiore sicurezza.
È fondamentale rimanere aggiornati sulle minacce informatiche e adottare misure preventive per proteggere i propri dati. Disinstallare i plugin vulnerabili e passare a soluzioni più sicure come GPT è un passo essenziale per garantire la sicurezza dell’utilizzo di ChatGPT.
