100.000 ChatGPT-accounts gestolen en te koop aangeboden

Tussen juni 2022 en mei 2023 is een aanzienlijk aantal gecompromitteerde OpenAI ChatGPT-accountreferenties, meer dan 101.100, opgedoken op illegale darkweb-marktplaatsen. Met name India was goed voor 12.632 van de gestolen inloggegevens, volgens een rapport van Group-IB gedeeld met The Hacker News.

De beschikbaarheid van gecompromitteerde ChatGPT-accounts bereikte zijn hoogste punt in mei 2023, met in totaal 26.802 logs die te koop werden aangeboden. In de regio Azië-Pacific werd het afgelopen jaar de hoogste concentratie aan ChatGPT-referenties verhandeld.

Onder de landen met de meest gecompromitteerde ChatGPT-referenties zijn Pakistan, Brazilië, Vietnam, Egypte, de VS, Frankrijk, Marokko, Indonesië en Bangladesh.

Nader onderzoek wees uit dat de meeste logs met ChatGPT-accounts waren gecompromitteerd door de bekende Raccoon-infostealer, in totaal 78.348. Vidar was goed voor 12.984 gecompromitteerde inloggegevens, gevolgd door RedLine met 6.773.

Infodieven zijn populair geworden onder cybercriminelen vanwege hun vermogen om gevoelige informatie zoals wachtwoorden, cookies, creditcardgegevens en cryptocurrency-portemonneegegevens uit webbrowsers te kapen.

De logboeken met gecompromitteerde informatie worden actief verhandeld op darkweb-marktplaatsen, met aanvullende informatie over de logboeken, waaronder lijsten met domeinen die in het logboek zijn gevonden en details van het IP-adres van de gecompromitteerde host.

Deze gecompromitteerde ChatGPT-accounts, beschikbaar via een op abonnementen gebaseerd prijsmodel, verlagen niet alleen de toegangsdrempel voor cybercriminele activiteiten, maar dienen ook als toegangspoort voor het lanceren van volgende aanvallen met behulp van de gestolen inloggegevens.

Potentiële bedreigingen in verband met diefstal van inloggegevens

Gezien het feit dat veel organisaties ChatGPT integreren in hun workflows, bestaat het risico dat gevoelige informatie onbedoeld wordt vrijgegeven aan bedreigingsactoren als accountgegevens worden verkregen. Medewerkers kunnen bijvoorbeeld geheime correspondentie voeren of de bot gebruiken om eigen code te optimaliseren, en het bewaren van alle gesprekken in de standaardconfiguratie van ChatGPT kan een schat aan waardevolle informatie opleveren voor kwaadwillende actoren.

Om dergelijke risico's te beperken, wordt gebruikers geadviseerd om sterke wachtwoordpraktijken te volgen en tweefactorauthenticatie (2FA) in te schakelen om aanvallen op het overnemen van accounts te voorkomen.

Deze ontwikkelingen vinden gelijktijdig plaats met een voortdurende malwarecampagne die nep-OnlyFans-pagina's en lokaas voor inhoud voor volwassenen gebruikt om een trojan voor externe toegang en een informatie-dief te verspreiden die bekend staat als DCRat (DarkCrystal RAT), een aangepaste versie van AsyncRAT.