Kerentanan Kritikal Plugin ChatGPT
March 11, 2024Deskripsi
1Peneliti Salt Security menemukan kerentanan kritikal pada plugin ChatGPT yang berdampak pada akses secara tidak sah pada data maupun layanan milik pengguna. Plugin pada ChatGPT umumnya dibuat oleh "unknown" developer untuk dimanfaatkan oleh banyak orang. Namun ChatGPT sendiri menyatakan bahwa mereka tidak memiliki kontrol terhadap fungsi di dalamnya.
Informasi Kerentanan
2
1. Kerentanan pada ChatGPT yang memungkinkan attacker membuat phishing email yang bila diklik maka pengguna akan menginstall malicious plugin pada akun ChatGPT korban sehingga seluruh chat pada ChatGPT dapat dibaca attacker.
2. Zero click account takeover pada beberapa plugin, yang memungkinkan attacker mendapatkan akses ke third party website yang terhubung seperti Github.
3. Kerentanan OAuth redirection manipulation pada beberapa plugin dengan menggunakan skenario phishing email.
Mitigasi
3
- Awareness kepada pengguna ChatGPT untuk tidak memasukkan informasi dan data milik pribadi maupun perusahaan.
- Menghindari penggunaan plugin pada ChatGPT.
Source:
https://salt.security/blog/security-flaws-within-chatgpt-extensions-allowed-access-to-accounts-on-third-party-websites-and-sensitive-data
https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
