Hat OpenAI bei der Cybersicherheit massiv geschlampt? Kriminelle brüsten sich in einem Darknet-Forum damit, Millionen Login-Daten von ChatGPT-Nutzern gestohlen und weitergegeben zu haben. Bedrohungsakteure machen in solchen Untergrund-Marktplätzen zwar häufig übertriebene Ansagen, um Aufmerksamkeit auf sich zu lenken oder Käufer anzulocken. Das potenzielle Ausmaß des inserierten Datenlecks wäre allerdings groß, sodass bei IT-Sicherheitsexperten Alarmglocken läuten. "Wir nehmen diese Behauptungen ernst", erklärte ein OpenAI-Sprecher gegenüber dem Magazin Decrypt. Der Fall werde derzeit untersucht.
Anzeige
Der unter dem Pseudonym emirking agierende Darknet-Nutzer postete laut dem Portal GbHackers eine kryptische Nachricht auf Russisch, in der er "mehr als 20 Millionen Zugangscodes zu OpenAI-Konten" anpries. Er sprach demnach von einer "Goldmine" und bot potenziellen Käufern Beispieldaten mit E-Mail-Adressen und Passwörtern an. Dem Bericht zufolge soll der vollständige Datensatz "für nur ein paar Dollar" zum Verkauf stehen. Bei OpenAI stehe wohl eine Massenüberprüfung von Konten an.
"Wir haben bisher keine Hinweise darauf, dass dieser Fall mit einer Kompromittierung von OpenAI-Systemen zusammenhängt", hieß es von dem ChatGPT-Hersteller in einer ersten Reaktion. Auch Security-Experten sind sich unsicher, ob persönliche Daten von Nutzern des Chatbots kompromittiert worden sind.
Mikael Thalen von Daily Dot teilte mit, dass er in dem angeblichen Sample ungültige E-Mail-Adressen gefunden habe. Es gebe bislang keine Beweise dafür, "dass dieser vermeintliche OpenAI-Einbruch legitim ist". Mindestens zwei Adressen hätten nicht funktioniert. Der einzige andere Beitrag des Nutzers in dem Forum sei zwar ein Verweis auf eine Malware zum Stehlen von Login-Daten. Der Thread sei inzwischen aber gelöscht worden.
Eine besonders gute Bilanz im Bereich IT-Security hat OpenAI laut Decrypt nicht vorzuweisen. Falls die Behauptungen legitim sind, wäre es der dritte größere Sicherheitsvorfall für das KI-Unternehmen seit der Veröffentlichung von ChatGPT. Voriges Jahr verschaffte sich ein Cyberangreifer Zugriff auf das interne Slack-Messaging-System der Firma. Der New York Times zufolge soll er Details über das Design der KI-Technologien von OpenAI in die Finger bekommen haben. Zuvor soll es 2023 ein einfacher Bug Cybergaunern ermöglicht haben, private Daten zahlender Kunden der Firma abzugreifen.
Das Schadenspotenzial des untersuchten Datenlecks wäre groß: Millionen von OpenAI-Nutzer weltweit vertrauen auf die Plattform und Instrumenten wie ChatGPT und GPT-basierten Integrationen teils vertrauliche Inhalte an. Gehackte Konten könnten so sensible Firmenprojekte oder kritische Kommunikation offenlegen.
(
Kommentare