Deutschland
 

StolenGPT

Wie ChatGPT gerade das Dark Web erobert

Die (Handels-)Aktivitäten rund um ChatGPT florieren im digitalen Untergrund.
Von 
CSO | 17. April 2023 09:25 Uhr
ChatGPT entwickelt sich auch im dunklen Teil des Netzes zum Hit.
ChatGPT entwickelt sich auch im dunklen Teil des Netzes zum Hit.
Foto: Cloudy Design - shutterstock.com

Wie eine aktuelle Untersuchung des Sicherheitsanbieters Check Point zeigt, hat seit März 2023 (unter anderem) der Handel mit gestohlenen ChatGPT-Account-Daten deutlich zugelegt. Den Cyberkriminellen ermöglicht das, die Beschränkungen von OpenAI auszuhebeln und unbegrenzten Zugang zu ChatGPT zu erlangen, um es für ihre Zwecke auszunutzen.

Demnach haben die Forscher im Dark Web verschiedene Arten von Diskussionen und Geschäften in Zusammenhang mit OpenAIs viralem Generative-AI-Tool beobachtet. Zu den jüngsten Untergrund-Aktivitäten zählen zum Beispiel:

  • der Handel mit gestohlenen Premium-Konten beziehungsweise entsprechenden Zugangsdaten;

  • der Vertrieb von Brute-Force- und Checker-Tools für ChatGPT, um Konten und Zugangsdaten zu kompromittieren;

  • neuartige "ChatGPT Account as a Service"-Angebote, die Zugang zu Premium-Konten ermöglichen (höchstwahrscheinlich mit gestohlenen Zahlungsdaten);

Was bringen geklaute ChatGPT-Accounts?

Premium-Konten für ChatGPT sind bei Cyberkriminellen gefragt, weil damit (über die API) die von OpenAI auferlegten Geofencing-Regeln außer Kraft gesetzt werden können. Das wiederum ermöglicht, ChatGPT auch in Ländern wie dem Iran, Russland oder China zu nutzen. Ein weiterer potenzieller Nutzen für kriminelle Akteure: "Wenn Cyberkriminelle bestehende Konten stehlen, erhalten sie Zugang zu den Abfragen des eigentlichen Kontobesitzers. Dabei können persönliche Informationen, Details über Unternehmensprodukte und -prozesse und vieles mehr beinhalten", schreiben die Forscher von Check Point in einem Blogbeitrag.

Erst im März 2023 hatte OpenAI eingestehen müssen, dass ein Fehler in der Open-Source-Bibliothe des Redis-Clients zu einem Ausfall und einem Datenleck geführt haben. Dabei wurden Chat-Anfragen und persönliche Informationen (Namen, E-Mail-Adressen, Zahlungsdaten) von etwa 1,2 Prozent der ChatGPT-Plus-Abonnenten offengelegt. Kein Wunder also, dass die Datenschutzbedenken in Zusammenhang mit Generative AI im Allgemeinen weltweit wachsen: Die italienische Datenschutzbehörde hat die Nutzung von OpenAIs Tool deswegen vorübergehend untersagt und dem Unternehmen ein Ultimatum bis Ende April 2023 gesetzt, um die Datenschutzanforderungen zu erfüllen. Auch in Deutschland wird bereits über ein Verbot von ChatGPT diskutiert.

OpenAI hat unterdessen ein Bug-Bounty-Programm auf die Beine gestellt, um den immer stärker zutage tretenden Sicherheitsrisiken zu begegnen. Das Unternehmen bezahlt in diesem Rahmen bis zu 20.000 Dollar für gefundene Sicherheitslücken. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Apurva Venkat ist Hauptkorrespondentin für die indischen Ausgaben von CIO, CSO und Computerworld. Zuvor berichtete sie für ISMG, IDG India, Bangalore Mirror und Business Standars über neue technologische Entwicklungen sowie Tech-Unternehmen, Startups, Fintech, E-Commerce und Cybersicherheit.
Folgen: