Mais de 100 mil contas hackeadas do ChatGPT estão à venda na dark web por US$ 10
Ferramenta de inteligência artificial armazena dados sensíveis e informações confidenciais, que ficam na nuvem
Nos últimos meses, mais de 100.000 contas hackeadas do ChatGPT foram colocadas à venda na dark web. A empresa de segurança cibernética Group-IB mergulhou nesse espaço, conhecido como o submundo da Internet, descobrindo nomes de usuário e senhas para vários serviços da web. Isso inclui credenciais de inteligência artificial OpenAI, que são usadas para fins profissionais e, portanto, podem conter informações confidenciais das empresas que as utilizam.
Desde que o ChatGPT se tornou popular no final do ano passado, sua adoção foi massiva. Chegou a 100 milhões de usuários em apenas dois meses e hoje mantém um crescimento meteórico. Empresas como a Microsoft são a favor de seus funcionários usá-lo para automatizar tarefas, embora com cautela.
Mas nem todos estão tão entusiasmados. Alguns gigantes, como Apple ou Samsung, proibiram o uso deste ou de outros aplicativos de IA por medo de vazamento de informações internas. Nesse contexto, uma pesquisa realizada pelo aplicativo Fishbowl, que promove a discussão em grupo em ambientes empresariais, indica que 68% dos que usam o ChatGPT ou outras ferramentas de IA o fazem sem o conhecimento de seus superiores.
O crescimento vertiginoso do ChatGPT sugere que algumas empresas se apressaram em usar o aplicativo, sem protocolos ou guias de usuário. E isso tem seus riscos, pois a ferramenta armazena o histórico, com todas as perguntas que o usuário faz e as respostas que a IA dá.
— Muitas empresas começaram a usar o ChatGPT em seus processos do dia a dia. Alguns gerentes seniores ou gerentes de vendas podem usá-lo para melhorar seus e-mails, que são enviados externamente. Obviamente, nessa correspondência pode haver dados sensíveis, como preços que são tratados internamente, números, informações sobre produtos, sobre inovações, faturas e outras informações críticas — diz Dmitry Shestakov, gerente de produto Threat Intelligence do Grupo-IB.
Leia também
• Perda de florestas tropicais primárias aumentou 15% no Brasil em 2022
• Vencedora do primeiro MasterChef Brasil cozinhou para Lula e Alberto Fernandez; veja o cardápio
• Lula e Janja retomam lives, mas só um usa TV Brasil
No total, a empresa de segurança cibernética encontrou 101.134 credenciais de contas ChatGPT expostas no mercado negro. Os cibercriminosos usaram programas maliciosos, como cavalos de Tróia, para roubar os dados. Em seguida, eles os vendiam em pacotes, chamados de 'stealer logs', que são arquivos compactados que contêm pastas e documentos de texto com os nomes de usuário e senhas roubados de um dispositivo. O preço médio de um desses arquivos é de US$ 10 (equivalente a R$ 47,50), embora o Grupo-IB afirme que não se sabe quantos deles foram comprados.
Os históricos do ChatGPT podem conter informações de uso interno, que as empresas não querem que circulem livremente. Mas os dados também podem ser extraídos para praticar ataques direcionados contra os funcionários das próprias empresas. Os invasores podem usar em um e-mail malicioso o nome de um funcionário ou alguns detalhes sobre processos nos quais a empresa atua. Desta forma, conseguem um texto mais credível e seria mais fácil para um gestor clicar num link ou descarregar um arquivo.
Outro dos grandes riscos associados ao vazamento de dados das contas do ChatGPT está relacionado com a utilização desta ferramenta na programação. Shestakov explica os problemas que isso pode causar:
— Às vezes, o código de produtos desenvolvidos dentro da empresa é compartilhado com o ChatGPT, criando o risco de que agentes mal-intencionados possam interceptar, replicar e vender esse código para concorrentes. Além disso, esse código pode ser usado para procurar vulnerabilidades nos produtos da empresa, levando a possíveis violações de segurança — disse.
Armando Martínez-Polo, sócio responsável pela Technology Consulting da PwC, incentiva as empresas a explorarem a inteligência artificial generativa, mas seguindo algumas recomendações. Em primeiro lugar, são necessárias políticas de uso que definam claramente o que não pode ser feito.
— A primeira coisa é estabelecer que dados pessoais ou dados confidenciais ou de propriedade intelectual de empresas não sejam compartilhados com inteligências artificiais generativas — aponta Martínez-Polo. — O grande problema do OpenAI é que tudo o que você faz com eles é carregado na nuvem e, além disso, o OpenAI o usa para treinar seus próprios modelos — acrescenta.
Martínez-Polo defende que o uso de inteligência artificial deve ser feito por meio de uma nuvem privada de serviço.
— É importante criar um ambiente de trabalho seguro com o ChatGPT, para que ao fornecer informações sobre sua empresa para fazer o treinamento, você saiba que tudo fica dentro do seu ambiente protegido — afirmou.
No momento, não parece que os vazamentos de dados vão diminuir. Muito pelo contrário. A empresa de segurança cibernética Group-IB observou que o número de arquivos à venda com chaves ChatGPT não parou de aumentar no ano passado. E aumentou significativamente nos últimos seis meses.
Em dezembro de 2022, foram encontradas 2.766 contas hackeadas da ferramenta de inteligência artificial. Em maio passado já eram 26.802.
— Esperamos que mais credenciais do ChatGPT sejam incluídas nos logs do ladrão, dado o número crescente de usuários que se inscrevem no chatbot — disse Shestakov.