OpenAI corregge un bug di divulgazione dei dati in ChatGPT. Ma le informazioni potrebbero trapelare ovunque

OpenAI ha risolto un bug di divulgazione dei dati in ChatGPT che poteva far trapelare informazioni sulla conversazione del chatbot su un URL esterno. Tuttavia, secondo il ricercatore che ha scoperto il problema, la patch dell’azienda non è perfetta e in determinate condizioni è ancora possibile sfruttare la vulnerabilità. Inoltre, non ci sono ancora correzioni per l’app iOS ChatGPT.

Il problema è stato scoperto nell’aprile 2023 dal ricercatore indipendente sulla sicurezza informatica Johann Rehberger e ne ha immediatamente informato gli sviluppatori di Open AI. Successivamente, nel novembre 2023, il ricercatore ha condiviso ulteriori informazioni con l’azienda sulla creazione di GPT dannosi che potrebbero essere utilizzati per il phishing.

“Quando il server restituisce un tag immagine con un collegamento ipertestuale, il client ChatGPT ora chiama l’API per la convalida prima di decidere di mostrare l’immagine”, spiega l’esperto in un nuovo post . “Ma poiché ChatGPT non è open source e la correzione non è implementata tramite la Content-Security-Policy (che può essere vista e verificata da utenti e ricercatori), i dettagli esatti della correzione sono sconosciuti.”

Il ricercatore nota che in alcuni casi ChatGPT visualizza ancora richieste associate a domini arbitrari, quindi a volte l’attacco può funzionare e si possono ottenere risultati diversi anche per lo stesso dominio.

A causa della natura chiusa del codice non è possibile capirne il motivo.

Tuttavia Rehberger ammette che lo sfruttamento del bug è diventato più visibile, anche se ha limitazioni sulla velocità di trasferimento dei dati ed è generalmente molto più lento.

Il ricercatore rileva inoltre che non sono ancora disponibili patch per l’applicazione ChatGPT per iOS (ed eventualmente per Android), e lì l’attacco funziona come prima.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks