点击上方蓝字关注我们
一名俄罗斯黑客在黑客交易平台 “BreachForums” 上,挂出了 2000 万个 OpenAI ChatGPT 账户的登录凭证待售。
上周五,这家人工智能初创公司和 Malwarebytes Labs 在一篇博客文章中揭露了这起盗窃事件。就在前一天,即周四上午,一位在 “Breached” 论坛上自称 “emirking” 的用户,发布了所谓被盗凭证的样本。
“emirking” 发布的帖子是用俄语写的,Malwarebytes 团队将其翻译成了英文。帖子中提到:“当我意识到 OpenAI 可能会批量验证账户时,我就知道我的密码藏不住了。我手里有超过 2000 万个 OpenAI 账户的访问码。要是感兴趣,欢迎联系我,这可是个大宝藏。”
“emirking” 似乎是这个黑客论坛的新成员,注册时间是 2025 年 1 月,除了这则售卖信息外,只发过另外一个帖子。不过,研究人员表示,“emirking” 也有可能是论坛的老用户,为了隐匿身份新开了账号,甚至还有可能是为了躲避执法人员。毕竟大家都知道,执法人员经常潜伏在这类网站和其他论坛,试图抓捕网络犯罪分子。
Malwarebytes 方面表示,在撰写这份报告时,他们仍在核实这一情况。他们解释称,从帖子内容来看,“这名网络犯罪分子似乎找到了能绕过平台认证系统的方法”。
至于这些账户凭证是如何泄露的,威胁研究人员指出,如此大规模的登录凭证不太可能是通过针对用户的网络钓鱼手段获取的。研究人员推测,不法分子可能是利用漏洞,或者搞到了管理员权限,进而成功 “攻破了auth0.openai.com这个子域名”。
Malwarebytes 在博客中提醒用户,如果此次数据泄露情况属实,那么任何拿到这些被盗数据的网络犯罪分子,都有可能查看用户在 ChatGPT 上的提问和对话记录。此外,这些敏感的个人信息还可能被用于社会工程学攻击,比如鱼叉式网络钓鱼和金融诈骗。
为保障账户安全,Malwarebytes 建议 OpenAI 账户用户立即采取以下措施:
-
修改密码; -
开启多因素身份验证(MFA); -
密切关注账户,查看是否存在异常活动或未经授权的操作; -
警惕利用用户与 ChatGPT 交互信息实施的网络钓鱼行为。
研究人员还提到,这些泄露的登录信息还可能被用于其他恶意活动,比如 “滥用 OpenAI API,让受害者为聊天机器人的‘Plus’或‘Pro’付费功能买单”。
Malwarebytes Labs 还特别指出,也有其他 “Breached” 论坛的用户声称,这些泄露的凭证并不能直接查看任何账户用户的 ChatGPT 对话记录。
严重漏洞,数十万大众电动车主数据可能遭到泄漏
2025-01-06
260亿泄漏数据!查查你的个人信息泄漏了吗?
2024-02-06
科技巨头Cisco遭攻击,黑客提供 2.9 GB 数据样本下载
2024-12-19
美国最大电信服务供应商确认7300万客户数据泄露
2024-04-02
喜欢此文的话,可以点赞、转发、在看 一键三连哦!
原文始发于微信公众号(星尘安全):俄罗斯黑客叫卖 2000 万 ChatGPT 账户,你的账号还安全吗?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论