Un recente studio condotto da Salt Security ha portato alla luce tre significative vulnerabilità nei plugin e nei GPT di ChatGPT, sollevando preoccupazioni sulla riservatezza dei dati e sul rischio di attacchi informatici.
Plugin e GPT: un’arma a doppio taglio
I plugin e i GPT rappresentano un’evoluzione significativa per ChatGPT, ampliandone le capacità ben oltre i confini originali. Tuttavia, questa innovazione porta con sé rischi non trascurabili. Lo studio di Salt Security svela come questi strumenti, pensati per potenziare le funzionalità dell’applicazione, possano in realtà compromettere gravemente la sicurezza dei dati. Il processo di installazione stesso si rivela una porta aperta per gli hacker, che possono infiltrarsi negli account degli utenti attraverso il dirottamento dell’autenticazione.
Le vulnerabilità identificate offrono uno spaccato preoccupante di come i criminali informatici possano sfruttare le avanzate funzionalità di ChatGPT per fini illeciti. La prima falla, legata all’installazione dei plugin, apre una backdoor che consente agli hacker di assumere il controllo non solo dei plugin, ma anche degli account delle vittime. Ciò espone informazioni personali e reti di comunicazione all’interno dell’applicazione. La seconda e la terza vulnerabilità, legate alla gestione degli ID e all’integrazione di account di terze parti come GitHub, amplificano ulteriormente il rischio, garantendo agli attaccanti un accesso quasi illimitato a dati e risorse sensibili.
Come proteggersi dalle minacce
Per proteggersi dalle vulnerabilità nei plugin di ChatGPT, è importante essere prudenti nella scelta delle estensioni da installare. Optare solo per plugin ufficiali o di cui ci si può fidare, evitando applicazioni non verificate che potrebbero nascondere falle di sicurezza. Anche dopo l’installazione, è fondamentale mantenere i plugin costantemente aggiornati per correggere eventuali problemi. La cautela nell’aggiunta di nuove funzionalità è essenziale per minimizzare i rischi e tutelare account e dati personali dagli attacchi hacker.