Наприкінці минулого тижня хакер виставив на продаж 20 млн кодів доступу для акаунтів OpenAI. ІБ-експерти вважають, що ці дані зібрано за допомогою інфостилерів, і вони не пов’язані зі зломом або вразливістю в системах компанії.

За даними фахівців Malwarebytes, хакер під ніком emirking опублікував оголошення на хак-форумі BreachForums. Зловмисник повідомив, що в його розпорядженні опинилися облікові дані для 20 млн акаунтів OpenAI, і він готовий продати цей «скарб».

“Заява свідчить, що кіберзлочинець отримав коди доступу, які можна використовувати для обходу системи аутентифікації платформи. Малоймовірно, що така велика кількість облікових даних могла бути зібрана під час фішингових операцій. Тому, якщо твердження зловмисника відповідає дійсності, emirking міг знайти спосіб скомпрометувати піддомен auth0.openai.com, скориставшись уразливістю або отримавши повноваження адміністратора”, – писали аналітики Malwarebytes.

Компанія повідомила, що за допомогою вкрадених облікових даних зловмисники можуть отримати доступ до конфіденційної інформації, яку користувачі надають OpenAI під час розмов і звернень. Така інформація може виявитися корисною у фішингових кампаніях і фінансових махінаціях і може використовуватися для зловживань API OpenAI.

Аналітики з компанії Kela вже провели аналіз наданих хакером зразків даних і дійшли висновку, що вони, найімовірніше, були вкрадені за допомогою інфостилерів.

Дослідники пишуть, що зіставили зразки з масивів даних про зламані облікові записи, зібраних інфостилерами, де міститься понад мільярд записів. Виявилося, що всі опубліковані emirking зразки пов’язані зі зламаними акаунтами. Також наголошується, що перше повідомлення хакера на BreachForums теж було пов’язане з логами стилерів.

За даними Kela, інформацію було отримано з десятка різних джерел і, судячи з усього, вона є частиною більшого набору даних, який містить інформацію, зібрану такими стілерами, як Redline, RisePro, StealC, Lumma і Vidar.

«Ці облікові дані, вочевидь, є частиною більшого масиву даних, зібраного з безлічі приватних і публічних джерел, де продаються і безкоштовно поширюються логи інфостилерів», – резюмують фахівці.