Критическая уязвимость в ChatGPT позволяет завладеть чужим аккаунтом и украсть данные

ChatGPT OpenAI Web Cache Deception
Критическая уязвимость в ChatGPT позволяет завладеть чужим аккаунтом и украсть данные
ChatGPT OpenAI Web Cache Deception

Достаточно одного нажатия, чтобы потерять свой аккаунт и раскрыть конфиденциальные данные.

image

Команда OpenAI 27 марта исправила критическую уязвимость ChatGPT, которая позволяет без ведома жертвы завладеть её аккаунтом, просмотреть историю чатов и получить доступ к платежной информации. Об ошибке компании сообщил багхантер Nagli и предоставил видео-демонстрацию .

Исследователю удалось провести атаку «Web Cache Deception» (обман веб-кэша). Изучая запросы, обрабатывающие поток аутентификации ChatGPT, специалист заметил GET-запрос, который может раскрыть информацию о пользователе: «https://chat.openai.com/api/auth/session»

При каждом входе в экземпляр ChatGPT, приложение извлекает данные учетной записи – email, имя, изображение и маркер доступа (Access Token) с сервера. Выглядит это так:

Эксперт смоделировал ситуацию, когда жертва получает от злоумышленника ссылку на несуществующий ресурс с расширением файла, добавленным к конечной точке: «chat.openai.com/api/auth/session/test.css»

OpenAI возвращает чувствительные данные в JSON после добавления расширения файла «css». Это могло быть связано с ошибкой регулярного выражения или просто с тем, что разработчики не учитывали этот вектор атаки.

Далее специалист поменял заголовок ответа «CF-Cache-Status» на значение "HIT". Это означает, что данные были кэшированы, и они будут возвращены при следующем запросе по тому же адресу. В результате злоумышленник получает необходимые данные для перехвата токена жертвы.

Схема атаки:

  1. Злоумышленник создает выделенный путь «.css» к конечной точке «/api/auth/session»;
  2. Хакер распространяет ссылку (напрямую жертве или публично);
  3. Жертва переходит по ссылке;
  4. Ответ кэшируется;
  5. Киберпреступник получает учетные данные JWT (JSON Web Token) и получает полный доступ к аккаунту цели.

Рекомендации по исправлению:

1. C помощью регулярного выражения проинструктируйте кэширующий сервер не перехватывать конечную точку (OpenAI исправила ошибку с помощью этого метода);

2. Не возвращайте конфиденциальный ответ JSON, если вы напрямую не запрашиваете желаемую конечную точку:

http://chat.openai.com/api/auth/session !=
http://chat.openai.com/api/auth/session/test.css

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Новости по теме

Logitech представила инновационную мышь со встроенным ChatGPT

Скайнет близко? GPT-4 научился самостоятельно взламывать системы, эксплуатируя актуальные уязвимости

Риски облачного ИИ: как получить доступ к чужим ИИ-моделям и захватить цепочку поставок

ИИ на службе зла: хакеры атакуют Германию с помощью ChatGPT

ИИ на поле боя: Microsoft и OpenAI вооружают Пентагон

Воспоминания из пробирки: ИИ научили воссоздавать утраченные фрагменты нашего прошлого

5 из 10: новый GPT-4 опережает конкурентов в математических задачах

Google готовит ответ Microsoft: ИИ-инвестиции превысят рекордные 100 миллиардов

Активисты против ИИ: NOYB хочет наказать OpenAI за дезинформацию