Devrim niteliğindeki ChatGPT’nin piyasaya sürülmesinden bu yana neredeyse yarım yıl geçti. Şaşırtıcı bir şekilde, sadece iki ayda 100 milyon kullanıcıya ulaştı.
ChatGPT, çok fazla araştırma gerektiren şeyleri yanıtlamak için hayal edilemeyecek bir potansiyele sahiptir. Giderek daha zorlu kullanımı nedeniyle, onu tehdit aktörlerinden korumak da önemlidir.
Microsoft destekli platform, BugCrowd’da Bug Bounty Programını başlattı. Birçok Güvenlik araştırmacısı, ChatGPT’de zaten bazı güvenlik açıkları buldu ve bunları ara sıra yayınlıyoruz.
Ancak, artık güvenlik profesyonellerinin hatalarını bildirmeleri ve çalışmalarının karşılığını almaları için mükemmel bir fırsat.
Bug ödül programlarına ve Bugcrowd’un VRT’sine (Güvenlik Açığı Derecelendirme Taksonomisi) göre ödülleri aşağıdadır.
- P4 – 200 Dolar – 500 Dolar
- P3 – 500$ – 1000$
- P2 – 1000$ – 2000$
- P1 – 2000 Dolar – 6500 Dolar
Program ayrıca ödülün maksimum 20.000$’a kadar çıkabileceğinden ve kritik hatalar için büyük bir ödül olduğundan bahsetmişti. Şimdiye kadar, programda 14 güvenlik açığı bildirildi.
Programın Kapsamı
Aşağıdaki uygulamalar kapsam dahilindedir.
- ChatGPT, ChatGPT Plus, Oturum Açmalar, Abonelikler, kullanıcılar tarafından oluşturulan OpenAI tarafından oluşturulan Eklentiler ve diğer tüm işlevler.
Bildirilebilecek hatalar şunları içerir:
- XSS veya Kayıtlı XSS
- CSRF
- SQLi
- Kimlik Doğrulama ve Yetkilendirme Sorunları
- Veri Teşhiri
- Ödeme tabanlı hatalar
- Trafiği korumasız uç noktalara göndermek için Cloudflare Bypass
- Genel kullanıma açık olmayan özel modellerde sorgu çalıştırma
- OpenAI tarafından oluşturulan Tarama veya Kod Tercüman Eklentileri
- SSRF
- OAuth Kusurları
- Kimlik Bilgisi Güvenliği ve ilgisiz alanlara eklenti çağrıları yapma
OpenAI internetin tamamına erişebildiği için Google Workspace, Asana, Trella, Jira, Monday.com, Notion, Hubspot ile ilgili sorunlar ve OpenAI ile ilgili daha birçok ilgili sorun da raporlanabilmektedir.
Ancak, bu şirketler üzerinde ek güvenlik testleri gerçekleştirmek için kısıtlamalar vardır.
Openai’nin alt alanları da program kapsamına dahildir. OpenAI’nin alt alanları şu adreste bulunabilir:
Kapsam Dışı Güvenlik Açıkları
Hataların çoğu raporlanmaya uygun olsa da, aşağıda listelenen hatalardan bazıları programın kapsamı dışındadır.
- Modele dayalı sorunlar
- Kaba Zorlama API’sı
- Fuzzing, şifre püskürtme yetkisiz saldırılar
- Çalınan veya Sızan Kimlik Bilgileri
- tıklama hırsızlığı
- PoC ile SSL/TLS Şifre güvenlik sorunları
- İstismar kanıtı olmayan sunucu hata mesajları
- Eski/EoL tarayıcı/eklentilerle ilgili sorunlar ve çok daha fazlası
Daha fazla bilgi için BugCrowd’daki Kapsam Dışı konusuna bakın.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin
İlgili Okuma: