ChatGPT : 100 000 comptes piratés se retrouvent en vente sur le Dark web

Group-IB, une société de renseignement sur les menaces basée à Singapour, a trouvé des identifiants ChatGPT de plus de 100 000 comptes, et ceux-ci déjà en vente sur le dark web.

Comme le rapporte The Hacker News et selon la société de cybersécurité Group-IB, basée à Singapour, ChatGPT a été victime d’une nouvelle faille de sécurité qui a conduit à la collecte de plus de 100 000 identifiants par des pirates. Il s’agirait d’identifiants d’utilisateurs qui se sont connectés à ChatGPT de son lancement en juin 2022 à mai 2023, ce qui signifie que la fuite est toujours d’actualité.

Les États-Unis, la France, le Maroc, l'Indonésie, le Pakistan et le Brésil semblent représenter la plus grande partie des utilisateurs concernés. Le problème, c’est que les identifiants sont déjà en vente sur le Dark web, et donc votre compte est peut-être déjà menacé. On ne peut donc que vous recommander de changer immédiatement votre mot de passe.

Lire également – Grâce à ChatGPT, Jésus répond désormais à toutes vos questions sur Twitch

Comment ont été volés les identifiants de ChatGPT ?

D’après les chercheurs, les pirates auraient utilisé des logiciels « voleurs d’informations » pour voler les comptes. Ces voleurs d'informations sont une catégorie de logiciels malveillants qui ciblent les données de compte stockées sur des applications telles que les clients de messagerie, les navigateurs web, les messageries instantanées, les services de jeux, les portefeuilles de cryptomonnaies et autres.

Le principal responsable semble être Racoon, le tristement célèbre logiciel malveillant russe découvert pour la première fois en 2019. La campagne de piratage avait été suspendue au début de l'année dernière après la mort de son créateur, avant de reprendre trois mois plus tard avec une nouvelle version améliorée.

Si cette fuite peut sembler anodine, elle peut en fait poser d’importants problèmes de sécurité. En effet, ChatGPT, par défaut, conserve toutes les demandes des utilisateurs et des réponses de l'IA. Par conséquent, un accès non autorisé aux comptes ChatGPT peut révéler des données privées ou sensibles qui peuvent être utilisées pour lancer des attaques spécifiquement contre les entreprises et leurs employés.

Pour prévenir ces failles, Google et Apple ont par exemple déjà interdit à leurs employés de partager des informations sensibles sur les chatbots. Samsung, en particulier, a promulgué l'interdiction après qu'il a été constaté que ses développeurs utilisaient ChatGPT pour corriger des erreurs dans le code interne des produits de la marque.