Ieri, i moderatori del canale Discord r/ChatGPT hanno bandito uno script kiddie che condivideva liberamente chiavi API OpenAI rubate con centinaia di altri utenti.
Le chiavi API consentono agli sviluppatori di integrare le tecnologie di OpenAI, in particolare il suo ultimo modello di linguaggio, GPT-4, nelle proprie applicazioni. Spesso, tuttavia, gli sviluppatori dimenticare le loro chiavi nel loro codice, rendendo il furto dell'account una questione di pochi clic.
Almeno da marzo, un utente di nome "Discodtehe" ha estratto le chiavi API dal codice sorgente pubblicato sulla piattaforma di collaborazione software Replit. La persona ha condiviso l'accesso gratuito al bottino su r/ChimeraGPT, dove una comunità di oltre 800 membri ha iniziato ad accumulare costi di utilizzo per gli account rubati.
A seguire Vice segnalazione il 7 giugno, Discodtehe non può più essere trovato su Discord o Reddit. Ma la storia non è finita, sottolineano gli esperti: decine di migliaia di chiavi API esposte sono ancora in circolazione.
"Il nocciolo della storia è: non inserire credenziali nel codice sorgente", afferma Chris Anley, capo scienziato presso NCC Group. "E certamente non pubblicare quel codice sorgente."
Le chiavi OpenAI sono ovunque
As ChatGPT è esploso in popolarità, le sue chiavi iniziarono a proliferare sul Web aperto.
In Rapporto 2023 sullo stato dello sprawl dei segreti, pubblicato l'8 marzo, GitGuardian ha osservato migliaia di chiavi OpenAI esposte nei repository pubblici, aumentando in proporzione alla ritrovata popolarità di ChatGPT.
Al momento della stesura di questo articolo, GitGuardian ha dichiarato a Dark Reading che ci sono più di 50,000 chiavi OpenAI trapelate pubblicamente solo su GitHub. Ciò rende gli account per sviluppatori OpenAI i terzi più esposti al mondo, dietro solo a MongoDB e Google.
Con la vulnerabilità è arrivato lo sfruttamento: da allora i criminali informatici hanno trafficato spesso con le chiavi OpenAI rubate allo scoperto sulle piattaforme social. Gli individui possono utilizzare le chiavi rubate per utilizzare gli account associati, accumulando fatture elevate per il proprietario e possibilmente accesso a dati aziendali sensibili lungo il percorso.
Ciò che abilita questo mercato non è solo la mancanza di due diligence da parte degli sviluppatori, ma anche la facilità con cui chiunque può trovare queste informazioni nei forum pubblici. A marzo, secondo Vice, Discodte si vantava di come "l'altro giorno ho effettuato lo scraping su repl.it e ho trovato oltre 1000 chiavi API openai funzionanti", aggiungendo che "non ho nemmeno fatto uno scrap completo, ho guardato solo circa la metà dei risultati.”
Probabilmente non stavano esagerando. Durante una chiamata Zoom, Dwayne McDaniel, sostenitore degli sviluppatori di sicurezza presso GitGuardian, ha dimostrato quanto sarebbe stato facile. "Mi sono registrato per un account Replit un paio di minuti fa e mi ci sono voluti meno di due minuti per trovare le chiavi OpenAI", ha detto.
“In qualsiasi sistema di gestione dei repository — sia esso GitHub, Replit, che cos'hai — c'è una funzione di ricerca. E le funzioni di ricerca sono solo migliorate nel tempo. Così ho cercato 'openapi.key', 'openai.api.key' e così via, e mi ha restituito i risultati della ricerca”, ha spiegato.
Come gli sviluppatori possono proteggere i loro segreti API
Il problema delle aziende con i segreti hard-coded non finisce sempre con hacker di basso livello e utenti Discord.
Come spiega Anley: “Uno dei motivi per cui è così grave quando le persone mettono le credenziali nel codice è che anche in tempi relativamente tranquilli, il fatturato del settore tecnologico si aggira intorno al 20% all'anno. Quindi, se tutti i tuoi segreti più sensibili sono hardcoded nei tuoi repository aziendali privati, ciò significa che, ogni anno, il 20% dei tuoi sviluppatori esce con credenziali amministrative per i tuoi sistemi nella tasca posteriore dei pantaloni. E questo senza che si verifichi alcuna violazione!
I dipendenti attuali ed ex possono divulgare chicche aziendali per errore, o con intenti dannosi.
Ma mantenere i segreti non deve essere difficile. OpenAI fornisce anche una guida pratica ad esso, raccomandando alle organizzazioni di assegnare chiavi univoche a ogni singolo utente, utilizzare le variabili ambientali e un servizio di gestione delle chiavi, ruotare le chiavi e, ovviamente, non includere mai le chiavi nel codice.
McDaniel fa eco a tutti gli stessi punti. “La cosa giusta sarebbe mettere le chiavi in un caveau”, dice, e “ruotare spesso. Fallo regolarmente, ogni giorno, se sei molto sensibile e sai di essere stato preso di mira in passato. Gli strumenti di terze parti possono aiutare quella rotazione di 24 ore.
Alla fine della giornata, conclude, "i migliori segreti che tu possa mai avere sono quelli che semplicemente non esistono o che non conosci mai perché vengono ruotati automaticamente".
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- EVM Finance. Interfaccia unificata per la finanza decentralizzata. Accedi qui.
- Quantum Media Group. IR/PR amplificato. Accedi qui.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/cybercrooks-scrape-openai-keys-pirate-gpt-4
- :ha
- :È
- :Dove
- $ SU
- 000
- 2023
- 50
- 7
- 8
- a
- WRI
- accesso
- incidente
- Secondo
- Il mio account
- conti
- effettivamente
- l'aggiunta di
- amministrativo
- avvocato
- fa
- Tutti
- consentire
- da solo
- lungo
- anche
- sempre
- ed
- anno
- in qualsiasi
- api
- CHIAVI API
- applicazioni
- SONO
- in giro
- associato
- At
- automaticamente
- precedente
- vietato
- base
- BE
- perché
- stato
- prima
- ha iniziato
- dietro
- MIGLIORE
- Meglio
- Bills
- violazione
- portato
- affari
- ma
- by
- chiamata
- Materiale
- certamente
- canale
- oneri
- ChatGPT
- capo
- chris
- codice
- codificato
- collaborazione
- Venire
- comunità
- Nucleo
- Aziende
- Coppia
- Portata
- Credenziali
- i criminali informatici
- pericoli
- Scuro
- Lettura oscura
- giorno
- dimostrato
- Costruttori
- sviluppatori
- diligenza
- discordia
- discutere
- do
- doesn
- don
- dovuto
- ogni
- alleviare
- facile
- o
- enfatizzare
- dipendenti
- Abilita
- fine
- ambientale
- Anche
- EVER
- Ogni
- ogni giorno
- esistere
- esperti
- ha spiegato
- Spiega
- sfruttamento
- esposto
- pochi
- Trovate
- Nel
- Ex
- forum
- essere trovato
- Gratis
- da
- pieno
- function
- funzioni
- GitHub
- Gruppo
- guida
- hacker
- Metà
- a portata di mano
- Hard
- Avere
- he
- Aiuto
- Come
- Tuttavia
- HTTPS
- centinaia
- i
- if
- in
- includere
- individuale
- individui
- industria
- informazioni
- integrare
- ai miglioramenti
- ISN
- IT
- SUO
- giugno
- ad appena
- conservazione
- Le
- Tasti
- Sapere
- Dipingere
- Lingua
- grandi
- con i più recenti
- meno
- meno
- più a lungo
- guardò
- FA
- Fare
- gestione
- Marzo
- Rappresentanza
- Importanza
- max-width
- si intende
- Utenti
- Minuti
- modello
- MongoDB
- Scopri di più
- maggior parte
- Nome
- Gruppo NCC
- mai
- no
- of
- di frequente
- on
- ONE
- quelli
- esclusivamente
- aprire
- OpenAI
- or
- organizzazioni
- Altro
- su
- ancora
- proprio
- proprietario
- particolarmente
- Persone
- persona
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- punti
- popolarità
- forse
- un bagno
- probabilmente
- Problema
- corretto
- proporzione
- protegge
- fornisce
- la percezione
- pubblicamente
- pubblicare
- pubblicato
- metti
- RE
- Lettura
- motivi
- raccomandando
- Basic
- relativamente
- Reportistica
- deposito
- Risultati
- crescita
- s
- Suddetto
- stesso
- dice
- Scienziato
- Cerca
- problemi di
- delicata
- grave
- servizio
- condiviso
- compartecipazione
- firmato
- da
- So
- Social
- Software
- Fonte
- codice sorgente
- Regione / Stato
- Ancora
- rubare
- Storia
- sistema
- SISTEMI DI TRATTAMENTO
- mirata
- Tech
- industria tecnologica
- Tecnologie
- dice
- decine
- di
- che
- Il
- il mondo
- furto
- loro
- poi
- Là.
- di
- cosa
- Terza
- di parti terze standard
- questo
- migliaia
- tempo
- volte
- a
- ha preso
- strumenti
- turnover
- seconda
- unico
- Impiego
- uso
- Utente
- utenti
- Volta
- Ve
- molto
- vulnerabilità
- a piedi
- Prima
- Modo..
- sito web
- Che
- quando
- quale
- OMS
- perché
- Selvaggio
- con
- senza
- lavoro
- mondo
- sarebbe
- scrittura
- anno
- Tu
- Trasferimento da aeroporto a Sharm
- te stesso
- zefiro
- zoom