近日,网络安全领域爆出一则令人震惊的消息:一名自称为“emirking”的俄罗斯黑客现身著名黑客市场BreachForums,公然发布并标价出售声称多达2000万个OpenAIChatGPT账户的登录信息。这一消息由AI创业公司OpenAI与网络安全公司MalwarebytesLabs于周五联合对外发布,再次为网络安全的严峻形势敲响了警钟。
据Malwarebytes的博客披露,emirking在论坛上发布的帖子采用俄语撰写,经翻译后,其字里行间尽显嚣张。他宣称自己握有超2000万个OpenAI账户的访问代码,并将其形容为一笔财富,公然招揽买家。值得关注的是,emirking于2025年1月注册该论坛,发帖记录仅有两篇,这一异常情况引发专家质疑,推测其可能是为逃避执法而启用的新账户。
Malwarebytes在报告中表明,他们正在对这些信息的真实性展开验证。报告还指出,帖子内容暗示该黑客找到了绕过平台身份验证系统的方法。众多专家认为,如此大规模的登录信息泄露,不太可能单纯通过针对用户的钓鱼攻击达成。他们推测,黑客或是利用系统漏洞,或是获取了管理员凭据,从而成功攻破OpenAI的认证系统。
该报告同时向用户发出警告,若此次信息泄露情况属实,任何持有被盗数据的网络犯罪分子都有可能访问用户的ChatGPT查询及对话记录。不仅如此,这些敏感信息还可能被用于针对用户的社交工程攻击,如钓鱼诈骗和金融欺诈等。
为保障自身安全,Malwarebytes建议OpenAI账户持有者即刻采取以下措施:其一,更改账户密码;其二,启用多因素认证(MFA);其三,密切监控账户活动,留意任何异常或未经授权的操作;其四,提高警惕,防范可能基于ChatGPT交流信息发起的钓鱼攻击。
最后,MalwarebytesLabs补充强调,即便有用户称泄露的凭证并未直接赋予他人访问其ChatGPT对话的权限,但面对潜在的恶意行为,仍不可掉以轻心。
