Volgens Benjamin Flesch, een beveiligingsonderzoeker in Duitsland, kan een beveiligingslek in ChatGPT gebruikt worden om DDoS-aanvallen uit te voeren.
Volgens een onderzoeker kan een beveiligingslek in de programmeerinterface van OpenAI’s ChatGPT worden misbruikt door hackers. Hij omschreef de kwetsbaarheid in detail en hoe die kan worden uitgebuit op GitHub.
Geen limieten
De kwetsbaarheid gebeurt bij het verwerken van http post-verzoeken naar de backend API. Er is geen limiet ingesteld voor het aantal hyperlinks dat in één verzoek kan worden opgenomen. Hierdoor kan men duizenden hyperlinks in één http-verzoek versturen en zo de servers overbelasten, ofwel een DDoS-aanval uitvoeren. De API van OpenAI verifieert niet of die hyperlinks naar dezelfde bron leiden, of dat het duplicaten zijn.
Flesch raadt OpenAI aan om zo snel mogelijk limieten in te stellen, ervoor te zorgen dat dubbele verzoeken worden gefilterd en beperkende maatregelen toe te voegen om misbruik te voorkomen. DDoS-aanvallen blijken echter moeilijk te voorkomen, alleen al in het derde kwartaal van 2024 werden er zes miljoen uitgevoerd. De financiële sector bleek het grootste doelwit te zijn.
lees ook