Mais de 100.000 contas do ChatGPT foram hackeadas nos últimos meses e colocadas à venda na dark web.
A empresa de segurança cibernética, Group-IB descobriu nomes de usuários e senhas para vários serviços da web, incluindo credenciais de inteligência artificial (IA) OpenAI, usadas para fins profissionais e, logo, podem conter informações confidenciais das empresas que as usam.
Desde que o ChatGPT se tornou famoso, sua adoção foi massiva, chegando a 100 milhões de usuários em apenas dois meses e hoje mantém um grande crescimento.
Empresas como a Microsoft são a favor de seus funcionários usarem para automatizar tarefas, embora deva ser feita com cautela.
Apesar disso, alguns gigantes, como Apple ou Samsung, proibiram o uso deste ou de outros aplicativos de IA por medo de vazamento de informações internas.
Nesse cenário, uma pesquisa realizada pelo aplicativo Fishbowl, indica que 68% dos que usam o ChatGPT ou outras ferramentas de IA o fazem sem o conhecimento de seus superiores.
O crescimento do ChatGPT sugere que algumas companhias se apressaram em usar o aplicativo, sem utilizar de protocolos ou guias de usuário, trazendo, de certa forma, riscos, uma vez que a ferramenta armazena o histórico, com todas as perguntas que o usuário faz e as respostas que a IA oferece.
“Muitas empresas começaram a usar o ChatGPT em seus processos do dia a dia. Alguns gerentes seniores ou gerentes de vendas podem usá-lo para melhorar seus e-mails, que são enviados externamente. Obviamente, nessa correspondência pode haver dados sensíveis, como preços que são tratados internamente, números, informações sobre produtos, sobre inovações, faturas e outras informações críticas”, diz o gerente de produto Threat Intelligence do Grupo-IB, Dmitry Shestakov.
O Grupo-IB encontro, no total, 101.134 credenciais de contas ChatGPT expostas no mercado ilegal.
Os cibercriminosos utilizaram programas maliciosos para roubar os dados. Depois, estes mesmos os vendiam em pacotes, chamados de ‘stealer logs’, que são arquivos compactados que contêm pastas e documentos de texto com os nomes de usuário e senhas roubados de um dispositivo.
Em média, o preço de um desses arquivos é de US$ 10 (equivalente a R$ 47,50), ainda que o Grupo-IB afirme que não se sabe quantos deles foram comprados.
Os históricos do chatbot podem conter informações de uso interno, e as companhias que o utilizam desejam que elas não circulem livremente.
Apesar disso, os dados também podem ser extraídos para praticar ataques direcionados contra os funcionários das próprias companhias. Aqueles que invadem podem usar em um e-mail malicioso o nome de um funcionário ou alguns detalhes sobre processos nos quais a empresa atua. Por meio disso, conseguem um texto mais legítimo e seria fácil para um gestor clicar em um link ou descarregar um arquivo.
Além disso, um outro grande risco associado ao vazamento de dados das contas do ChatGPT está relacionado com a utilização desta ferramenta na programação. Shestakov explica os problemas que isso pode causar:
“Às vezes, o código de produtos desenvolvidos dentro da empresa é compartilhado com o ChatGPT, criando o risco de que agentes mal-intencionados possam interceptar, replicar e vender esse código para concorrentes. Além disso, esse código pode ser usado para procurar vulnerabilidades nos produtos da empresa, levando a possíveis violações de segurança” disse Shestakov.
O sócio responsável pela Technology Consulting da PwC, Armando Martínez-Polo, incentiva as companhias a explorarem a IA generativa, porém seguindo algumas recomendações. Em primeiro lugar, são necessárias políticas de uso que definam claramente o que não pode ser feito.
“A primeira coisa é estabelecer que dados pessoais ou dados confidenciais ou de propriedade intelectual de empresas não sejam compartilhados com inteligências artificiais generativas — aponta Martínez-Polo. — O grande problema do OpenAI é que tudo o que você faz com eles é carregado na nuvem e, além disso, o OpenAI o usa para treinar seus próprios modelos”, acrescenta Martínez-Polo.
Ele defende que o uso de IA deve ser feito por meio de uma nuvem privada de serviço.
“É importante criar um ambiente de trabalho seguro com o ChatGPT, para que ao fornecer informações sobre sua empresa para fazer o treinamento, você saiba que tudo fica dentro do seu ambiente protegido”, afirmou.
Apesar disso, não aparenta que os vazamentos de dados vão diminuir, mas pelo contrário. Segundo a empresa de segurança cibernética Group-IB, o número de arquivos à venda com chaves ChatGPT não parou de aumentar em 2022, e cresceu significativamente nos últimos seis meses.
Em dezembro do ano passado, foram encontradas 2.766 contas hackeadas da ferramenta de IA. Em maio passado já eram 26.802.
“Esperamos que mais credenciais do ChatGPT sejam incluídas nos logs do ladrão, dado o número crescente de usuários que se inscrevem no chatbot”, disse Shestakov.
Com informações da Folha de Pernambuco