Uma vulnerabilidade no sistema do ChatGPT, ferramenta de inteligência artificial da OpenAI, está sendo usada por criminosos virtuais para conduzir ataques em massa contra instituições financeiras, revelou a empresa de segurança cibernética Veriti. A falha, identificada como CVE-2024-27564, permite a falsificação de solicitações do lado do servidor (SSRF), o que possibilita que invasores enviem comandos maliciosos para outros servidores e serviços locais, simulando uma origem legítima.
Bancos e fintechs, que dependem fortemente de serviços de IA, estão entre os principais alvos, juntamente com empresas de saúde e órgãos governamentais dos Estados Unidos. Em apenas uma semana, foram registradas mais de 10 mil tentativas de ataque originadas de um único endereço IP.
Como a falha está sendo explorada – Os criminosos estão injetando URLs maliciosas em parâmetros de entrada do ChatGPT, forçando a IA a executar ações não autorizadas em seu nome. Essa brecha de gravidade média permite que os invasores acessem sistemas internos, roubem dados sensíveis de clientes e funcionários, e até realizem transações financeiras fraudulentas.
As consequências podem ser devastadoras, incluindo danos à reputação das marcas e possíveis sanções regulatórias por falhas na segurança dos sistemas. Apesar disso, muitas organizações ainda negligenciam vulnerabilidades de gravidade média, priorizando apenas falhas críticas, o que aumenta o risco de ataques bem-sucedidos.
Os Estados Unidos são o país mais atingido, concentrando 33% das tentativas de invasão. Em seguida, aparecem Alemanha e Tailândia, com 7% cada. Indonésia, Colômbia e Reino Unido também estão entre os mais afetados.
Para mitigar os riscos, a Veriti recomenda que empresas que utilizam o ChatGPT e outras soluções da OpenAI revisem suas configurações de segurança, especialmente em firewalls convencionais, firewalls de aplicativos web (WAF) e sistemas de prevenção de intrusões (IPS). A empresa alerta que 35% das organizações estão desprotegidas devido a erros de configuração nessas ferramentas.
Além disso, é fundamental monitorar registros de tentativas de ataque e priorizar a correção de vulnerabilidades relacionadas à IA. A Veriti ressalta que ataques automatizados exploram qualquer brecha, independentemente de sua classificação de gravidade.
Impacto no setor financeiro – O setor financeiro, que vem adotando cada vez mais soluções de IA para melhorar a eficiência e a experiência do cliente, está particularmente vulnerável. A dependência de tecnologias como o ChatGPT para atendimento ao cliente, análise de dados e automação de processos torna essas instituições alvos preferenciais para cibercriminosos.
A exploração dessa falha serve como um alerta para que empresas de todos os setores revisem suas estratégias de segurança cibernética, especialmente em relação ao uso de ferramentas de IA. A proteção de dados sensíveis e a prevenção de ataques devem ser prioridades, já que as consequências de uma invasão bem-sucedida podem ser catastróficas, tanto financeiramente quanto para a reputação das marcas.
Enquanto a OpenAI trabalha para corrigir a vulnerabilidade, as empresas devem agir rapidamente para proteger seus sistemas e dados, garantindo que suas defesas estejam atualizadas e capazes de enfrentar ameaças cada vez mais sofisticadas.
Texto: Redação TI Rio