Cibercriminosos compartilham chaves de API GPT-4 gratuitamente

cibercriminosos-compartilham-chaves-de-api-gpt-4-gratuitamente

Um script kiddie foi banido por compartilhar as chaves roubadas da OpenAI API com muitos usuários no Discord para o subreddit r/ChatGPT. Cibercriminosos compartilham essas chaves de API GPT-4 gratuitamente e prejudicam ainda mais as contas comprometidas.

Os desenvolvedores podem incorporar perfeitamente o modelo de linguagem da OpenAI, GPT-4, em seus aplicativos usando chaves de API. Muitas vezes, os desenvolvedores deixam suas chaves involuntariamente incorporadas ao código, criando uma oportunidade de roubo de conta que pode ser explorada com o mínimo de esforço.

Chaves de API GPT-4 roubadas e compartilhadas por cibercriminosos

Os indivíduos que possuem as chaves de API roubadas podem efetivamente implantar o GPT-4 enquanto acumulam cobranças para seus usuários na conta OpenAI comprometida. A partir de março ou até antes, um usuário chamado “Discodtehe” habilmente extraiu chaves de API do código-fonte compartilhado no Replit, a plataforma de colaboração de software.

Discodtehe adquiriu acesso não autorizado a uma conta OpenAI altamente valiosa, que ostentava um limite de uso de $ 150.000 (cerca de R$ 731,4 mil). No r/ChimeraGPT, o indivíduo generosamente distribuiu acesso completo e irrestrito ao GPT-4 e GPT-3.5-turbo, levando a uma comunidade de mais de 700 membros que prontamente acumulou cobranças de uso em contas comprometidas.

cibercriminosos-compartilham-chaves-de-api-gpt-4-gratuitamente

A forma como o hacker obteve a entrada ressalta uma preocupação de segurança significativa que os usuários pagos do OpenAI devem avaliar cuidadosamente. Houve um aumento notável no uso de pelo menos uma chave de API OpenAI roubada nos últimos dias por “Discodtehe”.

Várias capturas de tela foram compartilhadas, mostrando o aumento progressivo do uso da conta ao longo do tempo. Uma captura de tela recente revela que o uso do mês atual é de US$ 1.039,37 (cerca de R$ 5.068,00) da alocação total de US$ 150.000.

No entanto, o Discodtehe vem extraindo chaves de API vulneráveis por longos períodos. Discodtehe não parou de raspar fichas; foi um passo além. De acordo com as descobertas recentes, em março, Discodtehe se gabou abertamente de sua façanha e declarou:

Recentemente, raspei o repl.it e descobri mais de 1.000 chaves de API OpenAI funcionais. Surpreendentemente, nem mesmo realizei uma raspagem abrangente; Examinei aproximadamente metade dos resultados.

Discord e Reddit não podem rastrear a existência de “Discodtehe”. Porém, os analistas de segurança cibernética enfatizaram o risco contínuo representado pela multiplicidade de chaves de API expostas. Infelizmente, elas continuam a ser compartilhadas de forma gratuita e comprometem as contas dos usuários expostos e que tiveram suas chaves roubadas.