Onderzoekers hebben drie kwetsbaarheden gevonden die de ChatGPT-plug-ins beïnvloeden

Tech Nieuws
Featured image for Eventually, ChatGPT will remember details about you

ChatGPT is nu veel nuttiger dan toen ik voor het eerst uitkwam, en dit komt door het gebruik van plug-ins en GPT’s. Als u van plan bent deze te gebruiken, brengt u mogelijk uw gegevens en cyberveiligheid in gevaar. Onderzoekers van Salt Security ontdekten verschillende beveiligingsproblemen met plug-ins en GPT’s die ertoe kunnen hebben geleid dat de accounts van sommige ChatGPT-gebruikers zijn gehackt

Plug-ins en GPT’s voegen meer functionaliteit toe aan ChatGPT. Ze zorgen ervoor dat de chatbot meer kan doen dan alleen het beantwoorden van typische AI-chatbotvragen. Beschouw GPT’s als kleinere, door gebruikers gemaakte versies van ChatGPT die gespecialiseerd zijn in het uitvoeren van specifieke taken. Gebruikers maken deze GPT’s en plaatsen deze in de GPT-winkel. Beschouw ze dus als Google Chrome-extensies. Gebruikers maken ze en plaatsen ze in de GPT-winkel, waar u ze kunt installeren en gebruiken binnen ChatGPT.

Er zijn beveiligingsproblemen gevonden bij sommige ChatGPT-plug-ins

Salt Security kon het vinden drie verschillende potentiële problemen die van invloed zijn op gebruikers. Deze problemen kunnen slechte actoren toegang geven tot de accounts van gebruikers, wat nooit een goede zaak is.

Eerste kwetsbaarheid

Het eerste beveiligingsprobleem doet zich voor bij het daadwerkelijk installeren van een plug-in of GPT. Helaas verifieert ChatGPT niet dat een gebruiker is begonnen met het installeren van een plug-in. Dit is een groot probleem dat zo meteen zal worden uitgelegd.

Wanneer u een nieuwe plug-in installeert, moet ChatGPT deze verifiëren. Om dit te doen, moet de website van de plug-in u een code sturen. Vervolgens stuurt u die code naar ChatGPT, die deze code verifieert bij de website. Zodra ChatGPT heeft geverifieerd dat de code legitiem is, wordt de plug-in geïnstalleerd.

Dit is echter een manier voor slechte actoren om de informatie van slachtoffers te stelen. De geheime code wordt opgeslagen binnen een link. Daarna wordt de plug-in geïnstalleerd met de inloggegevens van de gebruiker. Dit betekent dat de gebruiker controle heeft over de plug-in.

Daarom is het slecht dat ChatGPT niet verifieert dat gebruikers het installatieproces zijn gestart. Een slechte actor kan iedereen een link sturen met een code om de plug-in op uw account te installeren met behulp van de inloggegevens van de aanvaller. Omdat ChatGPT niet verifieert dat de accounthouder het installatieproces heeft gestart, kan iedereen die de code verzendt de plug-in laten installeren.

Eenmaal geïnstalleerd, heeft de aanvaller controle over de GPT op het account van het slachtoffer. Op dat moment kan de aanvaller de kwaadaardige plug-in al uw chatgesprekken en informatie ernaar laten omleiden. Hierdoor komt al uw gevoelige informatie in handen van de aanvaller.

Tweede kwetsbaarheid

De volgende kwetsbaarheid is een grote bedreiging als u de AskTheCode-plug-in gebruikt. Dit is een plug-in die uw ChatGPT-account verbindt met uw GitHub-account. Wanneer u deze plug-in installeert, wordt er feitelijk een apart account aangemaakt om uw GitHub-inloggegevens op te slaan.

Welnu, hackers kunnen via een kwetsbaarheid inbreken in de GitHub-accounts van gebruikers en hun GitHub-opslagplaatsen stelen. Volgens het rapport gebeurt deze actie door het slachtoffer een speciale link te sturen. De link onthult een belangrijk stukje informatie over de gebruiker, genaamd hun Gebruikers IDen stuur het naar de aanvaller.

Nou ja, de Gebruikers ID van een persoon is uiterst cruciaal. Daarna gaat de aanvaller naar ChatGPT en installeert de AskTheCode-plug-in. Op dat moment zullen ze de plug-in installeren en de lid-ID van het slachtoffer gebruiken om deze te authenticeren. Wanneer dat gebeurt, krijgt de aanvaller toegang tot het AskTheCode-account van het slachtoffer en het GitHub-account van het slachtoffer. Hierdoor krijgt de aanvaller toegang tot de repositories.

Derde kwetsbaarheid

Ten slotte is de derde kwetsbaarheid vergelijkbaar met de tweede. De aanvaller stuurt een kwaadaardige link naar het slachtoffer, die de plug-in installeert, maar waarbij de inloggegevens van het slachtoffer worden gebruikt. Hierdoor krijgt de aanvaller controle over het account van het slachtoffer.

Hopelijk worden deze problemen opgelost voordat er meer slachtoffers opduiken.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

RedCurl Cybercrime Group misbruikt Windows PCA Tool voor bedrijfsspionage

Google I/O vindt plaats van 14 tot en met 15 mei en gaat voor het eerst in vijf jaar terug naar meerdere dagen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]