安全内参2月11日消息，网络安全厂商Malwarebytes发文警告称，上周，用户“emirking”在暗网论坛上发帖，兜售2000万个OpenAI用户的登录凭据，并分享了疑似被盗数据的样本。

图：emirking的帖子

该帖子的俄语内容翻译如下：

“当我意识到OpenAI可能会批量验证账号时，我就明白我的密码不可能一直保持隐藏。我掌握了超过2000万个OpenAI账号的访问代码。如果你感兴趣，可以联系我。这是一座宝藏。”

这番话表明，该网络犯罪分子可能掌握了绕过OpenAI平台身份验证系统的访问代码。如此大规模的凭据泄露，似乎不太可能仅通过针对用户的网络钓鱼攻击获取。因此，如果该说法属实，emirking很可能是通过利用系统漏洞或获取管理员凭据，成功攻破了auth0.openai.com子域名。

虽然emirking在该论坛上看似是新注册的用户（其账号创建于2025年1月），但这并不代表什么。他可能曾使用其他网名发帖，并出于安全考虑更换了账号。

由于此次账号出售的暗网论坛BreachForums之前处于离线状态，Malwarebytes表示相关说法尚无法验证，后续将跟进并核实信息。

全球数百万用户依赖OpenAI平台，包括ChatGPT及其他GPT集成服务。

此次泄露的凭据，可能能让网络犯罪分子访问用户在OpenAI平台上的敏感信息，包括对话内容和查询数据。这些被盗数据可能被用于精准网络钓鱼攻击和金融欺诈。此外，攻击者还可能利用这些账号滥用OpenAI API，导致受害者为OpenAI的Plus或Pro会员功能支付费用。

然而，同一暗网论坛上的其他用户表示，所发布的凭据无法用于访问被泄露账号的ChatGPT对话记录。

OpenAI发言人表示，它正在认真对待数据泄露报告，但尚未发现其系统受到损害的任何证据。 

如果担心自己的凭据可能包含在此次泄露事件中，建议用户可采取以下措施：

• 更改密码。

• 启用多因素认证（MFA）。

• 监控账号是否存在异常活动或未经授权的使用。

• 警惕利用此次泄露数据发动的网络钓鱼攻击。