В конце прошлой недели хакер выставил в продажу 20 млн кодов доступа для аккаунтов OpenAI. ИБ-эксперты считают, что эти данные собраны с помощью инфостилеров и не связаны со взломом или уязвимостью в системах компании.
По данным специалистов Malwarebytes, 6 февраля 2025 года хакер под ником emirking опубликовал объявление на хак-форуме BreachForums. Злоумышленник сообщил, что в его распоряжении оказались учетные данные для 20 млн аккаунтов OpenAI, и он готов продать это «сокровище».
«Заявление гласит, что киберпреступник получил коды доступа, которые можно использовать для обхода системы аутентификации платформы. Маловероятно, что такое большое количество учетных данных могло быть собрано в ходе фишинговых операций. Поэтому, если утверждение злоумышленника соответствует действительности, emirking мог найти способ скомпрометировать поддомен auth0.openai.com, воспользовавшись уязвимостью или получив полномочия администратора», — писали аналитики Malwarebytes.
Компания сообщила, что с помощью украденных учетных данных злоумышленники могут получить доступ к конфиденциальной информации, которую пользователи предоставляют OpenAI во время разговоров и обращений. Такая информация может оказаться полезной в фишинговых кампаниях и финансовых махинациях и может использоваться для злоупотреблений API OpenAI.
Однако пользователи BreachForums отмечали, что опубликованные emirking образцы учетных данных не позволяют получить доступ к архивным чатам с ChatGPT.
Представители OpenAI уже сообщили СМИ, что расследуют заявления хакера, но пока не обнаружили никаких признаков компрометации своих систем.
«Мы серьезно относимся к таким заявлениям. На данный момент мы не выявили никаких доказательств или связи со взломом систем OpenAI», — заявили в компании.
Аналитики из компании Kela уже провели анализ предоставленных хакером образцов данных и пришли к выводу, что они, скорее всего, были украдены с помощью инфостилеров.
Исследователи пишут, что сопоставили образцы с массивов данных о взломанных учетных записях, собранных инфостилерами, где содержится более миллиарда записей. Оказалось, что все опубликованные emirking образцы связаны со взломанными аккаунтами. Также отмечается, что первое сообщение хакера на BreachForums тоже было связано с логами стилеров.
По данным Kela, информация была получена из десятка разных источников и, судя по всему, является частью более крупного набора данных, который содержит информацию, собранную такими стилерами, как Redline, RisePro, StealC, Lumma и Vidar.
«Эти учетные данные, по всей видимости, являются частью более крупного массива данных, собранного из множества приватных и публичных источников, где продаются и бесплатно распространяются логи инфостилеров», — резюмируют специалисты.
