Uma falha de segurança no ChatGPT, identificada como CVE-2024-27564, está sendo explorada por cibercriminosos para atacar empresas, principalmente do setor financeiro, segundo revelou a empresa de segurança cibernética Veriti na última quarta-feira (12). Em apenas uma semana, mais de 10 mil tentativas de ataques foram registradas, originadas de um único endereço IP. A vulnerabilidade, classificada como de gravidade média, permite a falsificação de solicitações do lado do servidor (SSRF), o que possibilita que os invasores forcem o ChatGPT a realizar solicitações não intencionais em seu nome.
A brecha ocorre quando URLs maliciosos são injetados em parâmetros de entrada, fazendo com que o sistema da OpenAI envie solicitações a outros servidores ou serviços locais, se passando por uma fonte legítima. Bancos, fintechs, empresas de saúde e organizações governamentais dos Estados Unidos estão entre os principais alvos, devido à sua forte dependência de serviços baseados em inteligência artificial e integrações de API.
Riscos e países mais afetados
A exploração dessa vulnerabilidade pode resultar em roubo de dados de funcionários e clientes, transações não autorizadas e danos significativos à reputação das empresas afetadas. Além disso, as organizações podem enfrentar sanções regulatórias devido a violações em seus sistemas.
Os pesquisadores destacam que os riscos são agravados pela pouca atenção dada pelas empresas a vulnerabilidades de gravidade média, como essa. Em geral, as instituições priorizam a correção de falhas críticas ou de alta gravidade, deixando brechas como essa sem a devida atenção.
Os Estados Unidos lideram a lista dos países mais afetados, com 33% das tentativas de invasão, seguidos por Alemanha e Tailândia, com 7% cada. Indonésia (6%), Colômbia (3%) e Reino Unido (3%) também aparecem entre os principais alvos. O relatório aponta que os ataques tiveram um pico de intensidade em janeiro deste ano, seguido por quedas em fevereiro e março. A OpenAI, responsável pelo ChatGPT, não foi violada diretamente.
Como mitigar os riscos
Para reduzir as chances de se tornarem vítimas dessa campanha maliciosa, as empresas que utilizam soluções baseadas no ChatGPT devem revisar imediatamente suas configurações de segurança. O foco deve ser em firewalls convencionais, firewalls de aplicativos da web (WAF) e sistemas de prevenção de intrusão (IPS). Segundo a Veriti, 35% das empresas analisadas estão desprotegidas devido a erros de configuração nessas ferramentas.
Além disso, é essencial monitorar logs de tentativas de ataques a partir dos IPs maliciosos mencionados no relatório e priorizar a correção de lacunas de segurança associadas à inteligência artificial nas avaliações de risco. A empresa de segurança também alerta que ignorar vulnerabilidades de gravidade média é um erro, já que ataques automatizados exploram fraquezas e configurações incorretas, independentemente de sua classificação.
A exploração da vulnerabilidade CVE-2024-27564 no ChatGPT reforça a importância de uma abordagem proativa em relação à segurança cibernética, especialmente em um momento em que a inteligência artificial está cada vez mais integrada aos processos empresariais. Empresas de todos os setores, especialmente aquelas que dependem de IA e APIs, devem revisar suas práticas de segurança e garantir que todas as vulnerabilidades, independentemente de sua gravidade, sejam tratadas com a devida atenção. A prevenção é a melhor estratégia para evitar danos financeiros, reputacionais e regulatórios.
