Empresa Anti-Scam (AntiEstafa) expone la clave API de OpenAI

Iniciado por AXCESS, Marzo 21, 2024, 05:48:10 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 21, 2024, 05:48:10 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El sistema de moderación antiestafa de Certy AI dejó un archivo expuesto y reveló información confidencial, como su clave API OpenAI, según descubrieron investigadores de Cybernews.

Certy AI, una empresa de TI especializada en servicios web para empresas y ciberseguridad, dejó un archivo de entorno (env.) de acceso público, abriéndose a los atacantes.

Desde un env. el archivo sirve como un conjunto de instrucciones para programas informáticos, dejándolo abierto para que cualquiera pueda exponer datos críticos y proporcionar a los actores de amenazas varias opciones para atacar.

La empresa cerró el expediente después de que nuestros investigadores se pusieran en contacto con ellos. Nos comunicamos con la compañía para obtener comentarios oficiales, pero no recibimos una respuesta antes de la publicación.

El equipo de investigación de Cybernews descubrió un entorno accesible. en un subdominio CertyAI que contiene su clave API OpenAI y su clave API Photoroom. Mientras que una API OpenAI permite a las empresas integrar los servicios del creador de ChatGPT en sus sitios web, una API Photoroom permite a los usuarios editar imágenes.

Según el equipo, las claves API expuestas, incluida una clave API OpenAI, pueden representar una vulnerabilidad de seguridad grave.

"Las claves API son credenciales confidenciales que otorgan acceso a servicios o recursos específicos, y si caen en las manos equivocadas, pueden provocar un acceso no autorizado y un posible uso indebido de los recursos asociados", dijeron los investigadores.

Los atacantes podrían abusar de la clave API de OpenAI para agotar los recursos del propietario y causar daños financieros. Además, los actores malintencionados podrían abusar de la API con fines malévolos y comprometer la confidencialidad de las interacciones de los propietarios de claves.

"OpenAI normalmente cobra por el uso de API. Si alguien obtiene acceso a su clave y la usa de manera maliciosa, podría incurrir en cargos inesperados ya que el atacante consume los recursos asignados", dijo el equipo.

Dejar expuestas las claves de la API de OpenAI podría permitir que un actor malintencionado genere contenido inapropiado o dañino, lo que podría causar daños a la reputación de la empresa.

Otro vector de amenaza deriva de la forma en que se utiliza una clave API. Si se utiliza una clave API de OpenAI para procesar información confidencial, el acceso no autorizado podría provocar una violación de la privacidad.

El equipo aconseja a las empresas que sigan las mejores prácticas de gestión de claves API para evitar la atención innecesaria de los atacantes, incluido mantener seguras las claves API, rotarlas periódicamente, restringir el acceso según el principio de privilegio mínimo y monitorear cualquier actividad inusual asociada con la clave.

"Si sospecha que sus claves API se han visto comprometidas, es recomendable revocarlas y generar otras nuevas de inmediato. Además, es imprescindible cambiar las credenciales, como el nombre de usuario y la contraseña del correo electrónico asociados con los servicios API expuestos", dijeron los investigadores.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario