Kullanıcı adı Emirking olan bir bilgisayar korsanı, siber suç forumu BreachForums‘da, 20 milyondan fazla OpenAI ChatGPT yapay zeka sohbet botu kullanıcısının hesabına ait kimlik bilgilerini ele geçirdiğini ve bu verilerin satışa sunulduğunu iddia etti.
OpenAI iddiaları araştırdı ve bir sözcü SecurityWeek’e,”Bu iddiaları ciddiye alıyoruz. Bugüne kadar bunun OpenAI sistemlerinin tehlikeye atılmasıyla bağlantılı olduğuna dair herhangi bir kanıt görmedik” dedi.
ChatGPT’de Veri İhlali İddiaları Doğru Olabilir mi?
Tehdit istihbarat şirketi Kela, bilgisayar korsanının erişime açtığı örnek verileri analiz etti ve OpenAI kimlik bilgilerinin büyük ihtimalle infostealer adlı kötü amaçlı yazılım tarafından elde edildiğini tespit etti. Kela, “Bu kimlik bilgileri, 2024’te toplanan 4 milyondan fazla bot da dahil olmak üzere bir milyardan fazla kayıt içeren, bilgi hırsızı kötü amaçlı yazılımdan elde edilen, tehlikeye atılmış hesapların yer aldığı KELA’nın veri gölüyle çapraz referanslandı” dedi. Şirket, Emirking adlı hackerın paylaştığı örnekteki tüm kimlik bilgilerinin bu tehlikeye atılmış hesaplardan kaynaklandığı bulundu; bu muhtemelen hackerın satmayı planladığı 20 milyon OpenAI hesabının kaynağına işaret ediyor. Hackerın BreachForums’daki ilk gönderisi, infostealer günlükleriyle ilgili olarak değerlendirmeyi güçlendiriyor” diye ekledi.
Kela’nın analizi, hack forumunda yayınlanan kimlik bilgilerinin bir düzineden fazla kaynaktan geldiğini buldu. Redline, RisePro, StealC, Lumma ve Vidar gibi bilgi çalan kötü amaçlı yazılımlar tarafından toplanan bilgileri içeren daha büyük bir veri kümesinden geldiği düşünülebilir. Güvenlik şirketi, “Kimlik bilgileri, bilgi hırsızlığı günlüklerini satan ve paylaşan özel ve kamusal kaynakların bir karışımından toplanan daha büyük bir veri setinin parçası gibi görünüyor” şeklinde görüşlerini paylaştı.
ChatGPT kullanıcıları Nasıl Bir Önlem Alabilir?
ChatGPT, henüz güvenliğini ispatlamış değil; geçtiğimiz yıl da OpenAI güvenlik protokollerini ihmal ediyor iddiasında bulunulmuştu. Her ne kadar OpenAI sistemlerinin tehlikeye girdiğine dair bir kanıt bulunmadığını söylese de ChatGPT kullanıcılarının hesap güvenliklerini artırmaları öneriliyor. Siber güvenlik uzmanları kullanıcıların güvenlik önlemi olarak iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmelerini, şifrelerin güncellenmesini ve başka platformlardaki benzer şifrelerin de değiştirilmesini öneriyor.
