Threats
A API ChatGPT da OpenAI contém uma falha crítica que possibilita ataques Distributed Denial-of-Service contra sites
22/01/2025
|
A descoberta de uma vulnerabilidade significativa na API ChatGPT da OpenAI tem gerado preocupações em relação à segurança de websites e à proteção contra ataques Distributed Denial-of-Service (DDoS). A falha foi identificada no endpoint da API, responsável por processar solicitações HTTP POST, o que permite aos ciberatacantes acionarem ataques direcionados a sites arbitrários. Este defeito pode sobrecarregar servidores com grandes volumes de tráfego, comprometendo a disponibilidade dos sites afetados. De acordo com o especialista Benjamin Flesch, citado pelo Cyber Security News, a vulnerabilidade reside na forma como a API lida com as solicitações HTTP POST direcionadas ao endpoint https://chatgpt[.]com/backend-api/attributions, que recebe uma lista de URL. A falta de restrições no número de URL aceites, bem como a ausência de verificação de duplicação, torna a API suscetível a exploração maliciosa. Benjamin Flesch explicou que os atacantes podem gerar milhares de solicitações para sobrecarregar um site, aproveitando-se do rastreador ChatGPT, executado nos servidores da Microsoft Azure. A falha de programação da OpenAI tem implicações sérias, uma vez que permite que os atacantes criem solicitações maliciosas que provocam tráfego excessivo para sites de vítimas, o que coloca em risco a sua estabilidade. Ao processar as URL, a API dispara múltiplas solicitações simultâneas para o mesmo site, sem limites, gerando uma amplificação do tráfego. Este tipo de ataque, conhecido como “amplificação DDoS”, pode causar interrupções significativas no serviço dos sites atacados. A vulnerabilidade foi comunicada à OpenAI e à Microsoft em janeiro de 2025, mas até ao momento, nenhum retorno foi recebido, o que tem preocupado ainda mais os administradores de sites e profissionais de segurança. A falha demonstra a necessidade urgente de revisão nas práticas de engenharia de software, especialmente para serviços de alto tráfego como a API ChatGPT. Dada a gravidade da situação, especialistas recomendam que os administradores de sites implementem medidas imediatas de segurança, como monitorização de tráfego, limitação de taxa, uso de firewalls de aplicações da Web e colaboração com Internet Service Providers para a gestão de tráfego excessivo. |
Receba todas as novidades na sua caixa de correio!
NEWS
Comissão Europeia anuncia plano para reforçar cibersegurança no setor da saúde
NEWS
Formação avançada em compliance e resiliência no Curso NIS2 e DORA da CIIWA
THREATS
Microsoft corrige três falhas de segurança críticas zero day
THREATS
Fortinet corrige falha zero day explorada em ataques reportados no final de 2024
NEWS
Problema na autenticação multifator da Microsoft bloqueia acesso de utilizadores do Office 365
THREATS
Microsoft corrige três falhas de segurança críticas zero day
THREATS
Zoom lança correções para várias vulnerabilidades
THREATS
Microsoft descobre falha no macOS que permite instalação de rootkits
THREATS
Fortinet corrige falha zero day explorada em ataques reportados no final de 2024
THREATS
Juniper Networks lança atualizações para corrigir vulnerabilidades críticas no Junos OS
