Data Pribadi Pengguna ChatGPT Rentan Dicuri Hacker, Ini Penyebabnya.
Ancaman pencurian data pengguna ChatGPT terus meningkat, didorong oleh celah 'Prompt Injection' yang inheren pada AI dan serangan malware info-stealer yang menargetkan kredensial.
Jakarta, JClarity – Popularitas masif ChatGPT sebagai alat kerja dan sumber informasi telah menjadikannya target utama bagi para peretas. Data pribadi dan informasi sensitif pengguna layanan kecerdasan buatan (AI) dari OpenAI ini dilaporkan memiliki kerentanan tinggi untuk dicuri, dengan penyebab utama yang berasal dari celah keamanan inheren pada cara model AI memproses instruksi, hingga serangan malware yang menargetkan kredensial pengguna.
Salah satu ancaman terbesar yang baru-baru ini terungkap adalah ditemukannya tujuh kerentanan kritis, termasuk pada versi terbaru seperti GPT-5, yang memungkinkan teknik serangan Indirect Prompt Injection . Teknik ini memungkinkan penyerang menyuntikkan instruksi berbahaya melalui konten eksternal—seperti teks tersembunyi di situs web atau dalam blok kode—yang kemudian dieksekusi secara otomatis oleh ChatGPT ketika model tersebut merangkum atau berinteraksi dengan konten dari internet .
Kerentanan ini juga diperburuk oleh masalah Persistent Memory Injection. Jika penyerang berhasil menanam instruksi berbahaya pada satu sesi, instruksi tersebut dapat disimpan sebagai 'memori jangka panjang' oleh ChatGPT, yang berarti perintah jahat akan dipanggil dan dieksekusi secara berulang dalam percakapan pengguna berikutnya, tanpa disadari oleh pengguna . Ini dapat menyebabkan kebocoran data pribadi atau pencurian data sensitif, yang dalam istilah keamanan siber disebut sebagai Data Exfiltration .
Di luar kerentanan pada sistem AI itu sendiri, ancaman terbesar yang dihadapi pengguna datang dari malware info-stealer yang menargetkan komputer pribadi. Laporan dari perusahaan intelijen ancaman menunjukkan lonjakan besar log yang mengandung kredensial akun ChatGPT dijual di pasar gelap . Jenis malware seperti LummaC2, Raccoon, dan RedLine dirancang untuk mencuri session token atau kredensial yang tersimpan di perangkat pengguna .
Dengan mendapatkan token ini, peretas dapat mengakses riwayat percakapan pengguna tanpa memerlukan kata sandi, mengekspos setiap informasi sensitif yang pernah dimasukkan ke dalam prompt, seperti data bisnis, kode proyek, atau informasi keuangan pribadi . Data menunjukkan lebih dari 225.000 log kredensial ChatGPT yang disusupi telah diperdagangkan, menandai peningkatan signifikan seiring dengan bertambahnya pengguna yang mengandalkan AI untuk pekerjaan .
Untuk meminimalisir risiko, para ahli keamanan siber menyarankan pengguna ChatGPT untuk segera mengaktifkan otentikasi dua faktor (2FA). Selain itu, penting untuk selalu waspada terhadap malware dengan tidak mengunduh perangkat lunak dari sumber yang tidak tepercaya, dan secara ketat menghindari memasukkan informasi identitas pribadi (PII) atau rahasia perusahaan ke dalam kolom prompt ChatGPT. Pengguna juga disarankan untuk secara teratur menghapus riwayat dan memori percakapan mereka untuk menghilangkan potensi instruksi berbahaya yang mungkin tersimpan secara persisten .