Исследователи из Malwarebytes узнали, что на хакерском форуме продают более 20 миллионов кодов доступа к аккаунтам OpenAI. Продавец выложил примеры украденных данных, чтобы доказать свои слова.
Эти коды, похоже, помогают обойти системы проверки личности OpenAI. Эксперты считают, что такое большое количество кодов нельзя получить просто путем обмана; скорее всего, они были украдены через уязвимость в поддомене auth0.openai.com или украдены у администратора.
Аккаунт emirking, который разместил объявление о продаже, был создан в прошлом месяце. Однако аналитики думают, что владелец аккаунта мог использовать другое имя пользователя и потом поменять его по соображениям безопасности.
Покупка этих кодов позволяет злоумышленникам читать сообщения пользователей OpenAI и получать конфиденциальные данные для мошенничества и финансовых махинаций.
Также злоумышленники могут использовать доступ к аккаунтам, чтобы подключить жертв к платным подпискам Plus и Pro. Однако по отзывам на форуме, они не смогут прочитать сообщения с ChatGPT.
Проверить заявление emirking пока не удалось, так как сайт BreachForums, где был размещен пост, вышел из строя. Аналитики рекомендуют пользователям OpenAI сменить пароль, включить двухфакторную аутентификацию и следить за аккаунтом на предмет подозрительной активности и несанкционированного доступа.
