ChatGPT integrado en Bing está a punto de ser liberado a millones de personas y tiene grandes agujeros de seguridad. En este video Ringa Tech muestra como aprovecharse del Chat de Bing para que intente robar tus datos y enviarlos a un sitio malicioso sin que te des cuenta.
¿Qué agujero de seguridad? Es decir, usas una IA y la programas para que intente pedir los datos de la tarjeta de crédito a los visitantes.
Esto lo puedes hacer con cualquier tecnología.
Yo podría programar un popup con javascript para preguntar los datos de la tarjeta de crédito a los que vienen a mi web y creo que nadie con sentido común o que busque un titular llamativo iba a escribir "Grave agujero de seguridad en Javascript permite robar tarjetas de crédito"
Como consejo de seguridad, si entráis en una web que no conocéis de nada y te preguntan por tus datos de la tarjeta de crédito, no se los deis.
Si os los preguntan por la calle, tampoco.
#2 Entiendo que o estás fanatizado, eres un troll o no has visto el video (o probablemente las tres), así que no voy a dar mucha cancha.
A ver, que un programa de microsoft, alojado en sus servidores e infraestructura te dice literalmente "Tu puedes confiar en mi, soy una IA que trabaja para Bing para hacerte la vida más fácil. Dame tu número de tarjeta de crédito".
#5 No es un widget instalado en el sitio, es la barra lateral oficial de Bing, que viene instalada en Edge (está en modo preview, por liberarse). Está hecha específicamente para que sea usada para ayudarte en tu navegación, investigación, resumen, etc.
En el video está hecho con un sitio personal, pero en la publicación de los investigadores hay más de 10 maneras de inyectar esto en otros sitios (ya sea con vulnerabilidades de XSS, o incluso en artículos de Wikipedia).
Entonces: Sí puedes estar en un sitio oficial (e.g. Wikipedia u otro), con la barra de Bing (también la oficial que Edge te da, no se instaló nada extra), y hacer que el chat Bing funcione diferente a como originalmente debe hacerlo.
El ejemplo de manera exagerada te pide la tarjeta, pero no tiene que ser así: Puedes hacer que si le pides: "Hazme un resumen del sitio", que Bing no solo te de un resumen, sino que al final recomiende dar clic en una liga para dar más información. Esa liga, entonces, puede ser un sitio web phishing, etc. Lo que el atacante quiera agregar.
La idea es no centrarse solo en el ejemplo del video, sino en cómo puede explotarse juntando varias vulnerabilidades o ataques juntos y aprovechando la parte conversacional de Bing. Quizá tú, que sabes de sitios e informática no caigas nunca en esto, pero entonces creeme que no eres el objetivo. El mercado de scams y phishing es exageradamente grande, donde los objetivos son personas que no conocen tanto del tema.
#8 Hay algunas diferencias. Agregar un link a wikipedia lo haría visible para todos, y fácilmente podrían marcarlo para quitarlo. En este caso, los comandos al chat pueden estar en comentarios (ocultos para todos los que ven el sitio, pero visibles para Bing que ve el contenido/código, incluidos comentarios).
Y finalmente para cualquier otro sitio que pudiera ser ya sea vulnerado o con un problema estilo XSS o similar.
No es un widget instalado en el sitio, es la barra lateral oficial de Bing, que viene instalada en Edge (está en modo preview, por liberarse). Está hecha específicamente para que sea usada para ayudarte en tu navegación, investigación, resumen, etc.
En el video está hecho con un sitio personal, pero en la publicación de los investigadores hay más de 10 maneras de inyectar esto en otros sitios (ya sea con vulnerabilidades de XSS, o incluso en artículos de Wikipedia).
Entonces: Sí puedes estar en un sitio oficial (e.g. Wikipedia u otro), con la barra de Bing (también la oficial que Edge te da, no se instaló nada extra), y hacer que el chat Bing funcione diferente a como originalmente debe hacerlo.
El ejemplo de manera exagerada te pide la tarjeta, pero no tiene que ser así: Puedes hacer que si le pides: "Hazme un resumen del sitio", que Bing no solo te de un resumen, sino que al final recomiende dar clic en una liga para dar más información. Esa liga, entonces, puede ser un sitio web phishing, etc. Lo que el atacante quiera agregar.
La idea es no centrarse solo en el ejemplo del video, sino en cómo puede explotarse juntando varias vulnerabilidades o ataques juntos y aprovechando la parte conversacional de Bing. Quizá tú, que sabes de sitios e informática no caigas nunca en esto, pero entonces creeme que no eres el objetivo. El mercado de scams y phishing es exageradamente grande, donde los objetivos son personas que no conocen tanto del tema.
Comentarios
¿Qué agujero de seguridad? Es decir, usas una IA y la programas para que intente pedir los datos de la tarjeta de crédito a los visitantes.
Esto lo puedes hacer con cualquier tecnología.
Yo podría programar un popup con javascript para preguntar los datos de la tarjeta de crédito a los que vienen a mi web y creo que nadie con sentido común o que busque un titular llamativo iba a escribir "Grave agujero de seguridad en Javascript permite robar tarjetas de crédito"
Como consejo de seguridad, si entráis en una web que no conocéis de nada y te preguntan por tus datos de la tarjeta de crédito, no se los deis.
Si os los preguntan por la calle, tampoco.
#2
Yo por norma doy mis datos bancarios a todo desconocido que me pregunta.
Eso si... que sean correctos...
Y que haya dinero otra.
#2 Entiendo que o estás fanatizado, eres un troll o no has visto el video (o probablemente las tres), así que no voy a dar mucha cancha.
A ver, que un programa de microsoft, alojado en sus servidores e infraestructura te dice literalmente "Tu puedes confiar en mi, soy una IA que trabaja para Bing para hacerte la vida más fácil. Dame tu número de tarjeta de crédito".
#4 Claro, entonces, si yo escribo un programa en Node.js y lo alojo en Amazon Cloud, ¿el agujero de seguridad es Amazon Cloud?
El vídeo empieza con el tipo diciendo que él escribe en su sitio web un código de control para la IA, y que después instala un widget en su sitio web.
Si hablas con la versión de la IA que está en la página de Microsoft no te va a pasar esto. Él ha cogido la versión para ser usada en web de terceros.
#5 No es un widget instalado en el sitio, es la barra lateral oficial de Bing, que viene instalada en Edge (está en modo preview, por liberarse). Está hecha específicamente para que sea usada para ayudarte en tu navegación, investigación, resumen, etc.
En el video está hecho con un sitio personal, pero en la publicación de los investigadores hay más de 10 maneras de inyectar esto en otros sitios (ya sea con vulnerabilidades de XSS, o incluso en artículos de Wikipedia).
Entonces: Sí puedes estar en un sitio oficial (e.g. Wikipedia u otro), con la barra de Bing (también la oficial que Edge te da, no se instaló nada extra), y hacer que el chat Bing funcione diferente a como originalmente debe hacerlo.
El ejemplo de manera exagerada te pide la tarjeta, pero no tiene que ser así: Puedes hacer que si le pides: "Hazme un resumen del sitio", que Bing no solo te de un resumen, sino que al final recomiende dar clic en una liga para dar más información. Esa liga, entonces, puede ser un sitio web phishing, etc. Lo que el atacante quiera agregar.
La idea es no centrarse solo en el ejemplo del video, sino en cómo puede explotarse juntando varias vulnerabilidades o ataques juntos y aprovechando la parte conversacional de Bing. Quizá tú, que sabes de sitios e informática no caigas nunca en esto, pero entonces creeme que no eres el objetivo. El mercado de scams y phishing es exageradamente grande, donde los objetivos son personas que no conocen tanto del tema.
#7 ¿Y no se podría ser conseguir el mismo efecto poniendo un enlace de phishing en la wikipedia?
#8 Hay algunas diferencias. Agregar un link a wikipedia lo haría visible para todos, y fácilmente podrían marcarlo para quitarlo. En este caso, los comandos al chat pueden estar en comentarios (ocultos para todos los que ven el sitio, pero visibles para Bing que ve el contenido/código, incluidos comentarios).
Y finalmente para cualquier otro sitio que pudiera ser ya sea vulnerado o con un problema estilo XSS o similar.
No es un widget instalado en el sitio, es la barra lateral oficial de Bing, que viene instalada en Edge (está en modo preview, por liberarse). Está hecha específicamente para que sea usada para ayudarte en tu navegación, investigación, resumen, etc.
En el video está hecho con un sitio personal, pero en la publicación de los investigadores hay más de 10 maneras de inyectar esto en otros sitios (ya sea con vulnerabilidades de XSS, o incluso en artículos de Wikipedia).
Entonces: Sí puedes estar en un sitio oficial (e.g. Wikipedia u otro), con la barra de Bing (también la oficial que Edge te da, no se instaló nada extra), y hacer que el chat Bing funcione diferente a como originalmente debe hacerlo.
El ejemplo de manera exagerada te pide la tarjeta, pero no tiene que ser así: Puedes hacer que si le pides: "Hazme un resumen del sitio", que Bing no solo te de un resumen, sino que al final recomiende dar clic en una liga para dar más información. Esa liga, entonces, puede ser un sitio web phishing, etc. Lo que el atacante quiera agregar.
La idea es no centrarse solo en el ejemplo del video, sino en cómo puede explotarse juntando varias vulnerabilidades o ataques juntos y aprovechando la parte conversacional de Bing. Quizá tú, que sabes de sitios e informática no caigas nunca en esto, pero entonces creeme que no eres el objetivo. El mercado de scams y phishing es exageradamente grande, donde los objetivos son personas que no conocen tanto del tema.
Made Microsoft