האם OpenAI נפרץ? התשובה הקצרה היא: אולי, אני לא יודע.

דיווחים אחרונים טוענים שהאקר מוכר אישורי כניסה עבור 20 מיליון חשבונות משתמש OpenAI ברשת האפלה . הנתונים שהודלפו כוללים לכאורה כתובות דוא"ל וסיסמאות , ודוגמאות שותפו כהוכחה. הפרצה דווחה על ידי מקורות אבטחת סייבר כמו GBHackers ( קישור ), CyberSecurity News ( קישור ), ו- The Independent ( קישור ).

על פי הדיווחים, האישורים שהודלפו נמכרים בפורומי האקרים תמורת דולרים בודדים בלבד. למרות שהלגיטימיות של הפרה זו עדיין בחקירה, היא מעלה חששות רציניים לגבי שימוש לרעה פוטנציאלי בחשבונות גנובים.

היכן דלפו הנתונים?
הנתונים נמכרים לכאורה בשוקי אינטרנט אפלים ובפורומי האקרים, כאשר פושעי סייבר טוענים שיש להם גישה לאישורי התחברות. חלק מהדיווחים מצביעים על כך שהפרה עשויה להיות קשורה להתקפות מילוי אישורים קודמות , שבהן האקרים משתמשים בסיסמאות גנובות מפרצות מידע אחרות כדי לגשת לחשבונות בפלטפורמות שונות.

חוקר אבטחת סייבר המכונה "DarkWeb Informer" בטוויטר/X היה בין הראשונים שהדגיש את המכירה לכאורה של אישורי OpenAI. חשבון זה דיווח בעבר על דליפות רשת אפלות אחרות ופעילות פשעי סייבר.

תגובת OpenAI:
OpenAI התייחסה למצב והצהירה כי היא חוקרת את הטענות באופן פעיל אך לא מצאה ראיות לכך שהמערכות שלה נפגעו . בהתחשב בהיעדר אישור ישיר, עדיין לא ברור אם האישורים הללו הושגו באמצעות הפרה ישירה של התשתית של OpenAI או פשוט ממשתמשים שעשו שימוש חוזר בסיסמאות מהפרות נתונים קודמות.

למה זה חשוב:
אם הטענות נכונות, זו עשויה להיות אחת מהדלפות האישורים הגדולות ביותר הכוללות משתמשי OpenAI . למרות ש-OpenAI עצמה אולי לא נפרצה , האישורים שנפגעו עדיין יכולים לאפשר לפושעי סייבר:

• גש לחשבונות OpenAI ואחזר צ'אטים קודמים או נתונים פרטיים.
• קבל גישה לחשבונות בתשלום והשתמש במפתחות API למטרות זדוניות.
• התחזות למשתמשים או בצע התקפות דיוג.

ההמלצה שלי:
לא משנה אם הפרה הספציפית הזו אמיתית, תמיד כדאי לנקוט באמצעי זהירות אבטחה:
✅ שנה את סיסמת ה-OpenAI/ChatGPT שלך אם עדיין לא עשית זאת, במיוחד אם אתה עושה שימוש חוזר בסיסמאות.
✅ אפשר אימות רב-גורמי (MFA) כדי להוסיף שכבת אבטחה נוספת.
✅ הימנע משימוש חוזר בסיסמאות בשירותים שונים. השתמש במנהל סיסמאות כדי ליצור ולאחסן סיסמאות חזקות וייחודיות.
✅ לעולם אל תשתף מידע רגיש (סיסמאות, אסימוני API, נתונים עסקיים סודיים) עם OpenAI, ChatGPT או כל שירות AI. פלטפורמות אלו אינן מיועדות לאחסן או להגן על אישורים רגישים .
✅ היזהר מניסיונות דיוג מכיוון שפושעי סייבר עלולים להשתמש במיילים גנובים כדי להשיק קמפיינים דיוגים שמנסים להערים על משתמשים לחשוף פרטים נוספים.

גם אם זה יתברר כשקרי או מוגזם, היגיינת אבטחה טובה היא חיונית .

הישאר בטוח! 🔐

-קובי.