Redazione RHC : 29 Marzo 2023 08:24
Il 27 marzo, il team di OpenAI ha risolto una vulnerabilità critica in ChatGPT, che consente, all’insaputa della vittima, di assumere il controllo del suo account, visualizzare la cronologia della chat e accedere alle informazioni di pagamento. L’errore è stato segnalato alla società da Nagli bughunter il quale ha fornito una dimostrazione video.
The team at @OpenAI just fixed a critical account takeover vulnerability I reported few hours ago affecting #ChatGPT.
— Nagli (@naglinagli) March 24, 2023
It was possible to takeover someone's account, view their chat history, and access their billing information without them ever realizing it.
Breakdown below 👇 pic.twitter.com/W4kXMNy6qI
Il ricercatore è riuscito a eseguire un attacco Web Cache Deception. Durante l’esame delle richieste che elaborano il flusso di autenticazione ChatGPT, lo specialista ha notato una richiesta GET che può rivelare informazioni sull’utente: “https://chat.openai.com/api/auth/session”
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ogni volta che accedi a un’istanza di ChatGPT, l’applicazione recupera le informazioni sull’account (e-mail, nome, immagine e token di accesso) dal server.
L’esperto ha simulato una situazione in cui una vittima riceve da un utente malintenzionato un collegamento a una risorsa inesistente con un’estensione di file aggiunta all’endpoint: “chat.openai.com/api/auth/session/test.css”
OpenAI restituisce i dati sensibili in JSON dopo aver aggiunto l’estensione file “css”. Ciò potrebbe essere dovuto a un errore delle regex o semplicemente perché gli sviluppatori non hanno tenuto conto di questo vettore di attacco.
Successivamente, lo specialista ha modificato l’intestazione della risposta “CF-Cache-Status” nel valore “HIT”. Ciò significa che i dati sono stati memorizzati nella cache e verranno restituiti alla richiesta successiva allo stesso indirizzo. Di conseguenza, l’attaccante ottiene i dati necessari per intercettare il token della vittima.
Modello di attacco:
Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006