Datenleck: 100.000 kompromittierte ChatGPT-Konten im Darknet
Mehr als 100.000 ChatGPT-Zugänge sind im Darknet verfügbar, meldet die Sicherheitsfirma Group-IB aus Singapur. Diese können zu Datenlecks führen, weil Nutzer etwa im beruflichen Kontext auch besonders sensible Informationen an den Chatbot übergeben, die standardmäßig dauerhaft im Chat-Verlauf gespeichert sind.
Erfasst wurden die ChatGPT-Zugangsdaten mit Info-Stealer-Trojanern, die auf das Ausspähen von Informationen ausgelegt sind. Angreifer nutzen solche Malware, um Anmeldedaten und weitere Informationen wie Bankdaten oder Browser-Verläufe abzugreifen. Die von Group-IB analysierten Trojaner wählen die Opfer nicht selektiv aus – es waren also keine gezielten Angriffe auf bestimmte Personen. Stattdessen sollen so viele Systeme wie möglich etwa über Phishing-Attacken infiziert werden.
Vor allem der asiatisch-pazifische Raum betroffen
Die Sicherheitsforscher haben nun die Log-Dateien von solchen Trojanern ausgewertet, die im letzten Jahr auf Darknet-Marktplätzen gehandelt worden sind. Insgesamt zählten sie dabei 101.134 kompromittierte Konten. Allein im vergangenen Monat Mai entdeckten die Forscher rund 26.000 gestohlene Zugangsdaten – ein Rekord bis zu diesem Zeitpunkt.
Am stärksten von den Datenlecks betroffen ist der asiatisch-pazifische Raum. Mit rund 12.600 kompromittierten Konten liegt Indien auf Rang 1, gefolgt von Pakistan und Brasilien. Deutschland taucht nicht in den Top 10 auf.
Angreifer können sensible Eingaben abgreifen
Erhalten Angreifer einen ChatGPT-Zugang, können sie sämtliche Eingaben und Antworten abgreifen. Problematisch kann das insbesondere im beruflichen Kontext sein. In vielen Firmen nutzen Mitarbeiter das Tool und übergeben dabei auch sensible Informationen sowie geschützten Code an den Chatbot. „Da die Standardkonfiguration von ChatGPT alle Verläufe aufbewahrt, könnte dies bösartigen Akteuren unbeabsichtigt eine Fundgrube an sensiblen Informationen bieten, wenn sie die Anmeldedaten des Kontos erhalten“, erklärt Dmitry Shestakov von Group-IB.
Konzerne wie Samsung und Apple haben intern bereits den Zugang auf generative Chatbots wie ChatGPT eingeschränkt. Sorgen bestehen in diesen Fällen aber weniger wegen kompromittierter Konten, stattdessen will man verhindern, dass geheime Firmendaten bei OpenAI landen und für das Training der Modelle verwendet werden.
OpenAI hat bereits vor Wochen – und auf Druck europäischer Regulierer – bei den Datenschutzeinstellungen nachgebessert. Nun ist es etwa möglich, das Speichern der Chat-Verläufe zu deaktivieren. Die Nutzer sollten laut Group-IB aber auch die generellen Empfehlungen für Konto-Sicherheit beachten. Dazu zählen sichere Passwörter sowie das Verwenden einer 2-Faktor-Authentifizierung.