- Check Point Research ontdekte ChatGPT-fouten die stille gegevensexfiltratie mogelijk maken via DNS-misbruik en snelle injectie
- Door de kwetsbaarheid konden aanvallers firewalls omzeilen en gevoelige gebruikersgegevens stelen via heimelijke domeinquery’s
- OpenAI repareerde een probleem op 20 februari 2026 en markeerde de tweede grote oplossing die week na de Codex-opdrachtinjectiebug
OpenAI heeft een kwetsbaarheid in ChatGPT aangepakt waardoor bedreigingsactoren stilletjes gevoelige gegevens van hun doelen konden exfiltreren.
De kwetsbaarheid werd ontdekt door beveiligingsexperts van Check Point Research (CPR), die waarschuwden dat de fout ouderwetse snelle injecties combineerde met het omzeilen van ingebouwde firewalls, waarbij ze opmerkten dat “AI-tools niet als standaard veilig mogen worden beschouwd”.
Tegenwoordig delen de meeste mensen snel zeer gevoelige gegevens met ChatGPT – medische aandoeningen, contracten, loonstrookjes, screenshots van gesprekken met partners, echtgenoten en meer. Ze gaan ervan uit dat de informatie veilig is, omdat deze niet zonder hun medeweten of toestemming uit de tool kan worden gehaald.
Het artikel gaat hieronder verder
DNS-verkeer is geen risicovol gedrag
In theorie klopt het. De gegevens kunnen worden geëxfiltreerd via HTTP of externe API’s, die beide kunnen worden opgespoord of op zijn minst getraceerd. Maar CPR dacht buiten de gebaande paden en vond een geheel nieuwe manier om de informatie te extraheren – via DNS.
“Hoewel directe internettoegang werd geblokkeerd zoals bedoeld, bleef DNS-resolutie beschikbaar als onderdeel van de normale systeemwerking”, legden ze uit. “DNS wordt doorgaans behandeld als een onschadelijke infrastructuur – gebruikt om domeinnamen op te lossen, niet om gegevens over te dragen. DNS kan echter worden misbruikt als een geheim transportmechanisme door informatie in domeinquery’s te coderen.”
Omdat DNS-activiteit niet is gemarkeerd als uitgaand delen van gegevens, vraagt ChatGPT niet om authenticatiedialogen, geeft het geen waarschuwingen weer en herkent het gedrag niet als inherent riskant.
“Dit creëerde een blinde vlek. Het platform ging ervan uit dat de omgeving geïsoleerd was. Het model ging ervan uit dat het uitsluitend binnen ChatGPT werkte. En gebruikers gingen ervan uit dat hun gegevens niet zonder toestemming konden worden verlaten”, aldus CPR. “Alle drie de aannames waren redelijk – en alle drie onvolledig. Dit is een cruciale conclusie voor beveiligingsteams: AI-verdedigingen zijn vaak gericht op beleid en bedoelingen, terwijl aanvallers de infrastructuur en het gedrag misbruiken.”
Om de aanval op gang te brengen moet ChatGPT nog steeds worden gevraagd, dus de initiële trigger moet nog steeds worden ingedrukt. Dit kan echter op talloze manieren worden gedaan door een kwaadaardige prompt in een e-mail, PDF-document of via een website te injecteren.
Er zijn echter andere methoden om deze bug te misbruiken, zelfs zonder dat de GPT per ongeluk op een gesmokkelde prompt reageert, en dat is – via aangepaste GPT’s.
Een hackergroep kan bijvoorbeeld een aangepaste GPT bouwen om als persoonlijke arts op te treden. Slachtoffers die het gebruiken, uploaden laboratoriumresultaten met persoonlijke informatie, vragen om advies en krijgen de bevestiging dat hun gegevens niet zullen worden gedeeld.
Maar in werkelijkheid zou een server onder controle van de aanvaller alle geüploade bestanden krijgen. Tot overmaat van ramp hoeft GPT niet eens hele documenten te uploaden; het kan alleen de essentie verkennen, waardoor het proces slanker, sneller en gestroomlijnder wordt.
Gelukkig voor iedereen heeft CPR deze kwetsbaarheid ontdekt voordat deze in het wild werd uitgebuit. Het werd op verantwoorde wijze bekendgemaakt aan OpenAI, dat op 20 februari 2026 een volledige oplossing implementeerde.
Patchen van ChatGPT en Codex
Dit is de tweede grote kwetsbaarheid die OpenAI deze week moest aanpakken. Eerder vandaag rapporteerde TechRadar Pro over OpenAI’s ChatGPT Codex met een kritieke kwetsbaarheid voor commando-injectie waardoor bedreigingsactoren gevoelige GitHub-authenticatietokens konden stelen.
OpenAI heeft dus ook een bug opgelost die voortkomt uit de manier waarop Codex omgaat met vertakkingsnamen tijdens het maken van taken. Met de tool kon een kwaadwillende actor de branch-parameter manipuleren en willekeurige shell-opdrachten injecteren tijdens het instellen van de omgeving. Met deze opdrachten kan elke code in de container worden uitgevoerd, inclusief kwaadaardige code. Onderzoekers Phantom Labs zeiden dat ze op deze manier GitHub OAuth-tokens konden ophalen, toegang konden krijgen tot een theoretisch project van derden en de tokens konden gebruiken om lateraal binnen GitHub te bewegen.
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, video-unboxings en ontvang regelmatig updates van ons WhatsAppen Ook.
