Los ciberdelincuentes comparten claves API GPT-4 de forma gratuita

Recientemente, se prohibió a un script kiddie por compartir las claves de API de OpenAI robadas con muchos usuarios en Discord para el subreddit r/ChatGPT .

Los desarrolladores pueden incorporar sin problemas el modelo de lenguaje de OpenAI, GPT-4, en sus aplicaciones utilizando claves API.

A menudo, los desarrolladores dejan involuntariamente sus claves incrustadas en su código, creando una oportunidad para el robo de cuentas que puede explotarse con un esfuerzo mínimo.

Las personas que poseen las claves API robadas pueden implementar GPT-4 de manera efectiva mientras acumulan cargos para sus usuarios en la cuenta OpenAI comprometida.

Compartir claves API GPT-4 de forma gratuita

A partir de marzo o incluso antes, un usuario llamado “Discodtehe” ha estado extrayendo hábilmente claves API del código fuente compartido en Replit, la plataforma de colaboración de software.

Discodtehe adquirió acceso no autorizado a una cuenta de OpenAI muy valiosa, que contaba con un límite de uso de $150,000.

En r/ChimeraGPT, la persona distribuyó generosamente acceso completo sin restricciones a GPT-4 y GPT-3.5-turbo, lo que llevó a una comunidad de más de 700 miembros que rápidamente acumularon cargos de uso en cuentas comprometidas. Informe de la placa base dice.

La forma en que el pirata informático obtuvo la entrada subraya una importante preocupación de seguridad que los usuarios pagos de OpenAI deben evaluar cuidadosamente.

Ha habido un aumento notable en el uso de al menos una clave API de OpenAI robada en los últimos días por parte de “Discodtehe”.

Se compartieron varias capturas de pantalla que muestran el aumento progresivo del uso de la cuenta con el tiempo. Una captura de pantalla reciente revela que el uso del mes actual asciende a $1,039.37 de la asignación total de $150,000.

Sin embargo, Discodtehe ha estado extrayendo claves API vulnerables durante períodos prolongados. Discodtehe no se detuvo en raspar fichas; fue un paso más allá.

Según los hallazgos de Vice, en marzo, Discodtehe se jactó abiertamente de su hazaña y declaró:

“Recientemente raspé repl.it y descubrí más de 1000 claves de API OpenAI funcionales . Sorprendentemente, ni siquiera realicé un raspado completo; Examiné aproximadamente la mitad de los resultados”.

Discord y Reddit no pueden rastrear la existencia de “Discodtehe”. Pero los analistas de seguridad cibernética enfatizaron el riesgo continuo que representa la multitud de claves API expuestas.