ChatGPT驚現帳號接管漏洞 駭客輕鬆取得控制權

編譯/鄭智懷

知名資安研究者Nagli近期在Twitter發文宣稱找到一項有關網頁快取(Web Cache)詐欺的ChatGPT安全漏洞,駭客只要透過該聊天機器人的上述機制,就可以欺騙伺服器系統,獲得所有ChatGPT用戶的帳號控制權,進而實施盜取個資、詐騙交易,或是植入惡意軟體等網路犯罪活動。

所謂網頁快取詐欺,意指攻擊者利用CDN(Content Delivery Network)服務、負載平衡(Load balancer)與反向代理(Reverse Proxy)伺服器等機制,輸入一個假的網頁,向目標網站伺服器發出登入請求;但由於目標網站無法回應不存在的網頁資料,因此回傳上一個使用者的個資給攻擊者。

ChatGPT驚現帳號接管漏洞 駭客輕鬆取得控制權 /示意圖:123RF

Nagli所發現的ChatGPT安全漏洞中,即存在上述問題,使駭客可以藉由操控網頁快取機制或設立假網頁騙取用戶資料。

根據Nagli分析指出,攻擊者首先設立/api/auth/session 端點專用的「.css」連結路徑;其次,公開散播超連結並設法使受害者透過其登入ChatGPT帳號。當受害者登入ChatGPT時,伺服器將會暫存其輸入資料;此時攻擊者在特定時間內發出登入請求,伺服器就會把受害者的登入頁面資訊回傳給前者。

網路媒體《Cyber Security News》分析,假使開發商未即時修補此類型的安全漏洞,駭客可以進一步獲取受害者的真實名稱、電子郵件帳號、安全憑證等個資。

Nagli表示,他在發現此漏洞的第一時間已經回報給ChatGPT 團隊,以協助防堵可能造成的資安風險。Nagli也坦言,該團隊並未給予任何經濟補償。

資料來源:Cyber Security News

瀏覽 17,236 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button