- Check Point Research heeft een ChatGPT-fout ontdekt die stille data-exfiltratie via DNS-misbruik en snelle injectie mogelijk maakt
- Door de kwetsbaarheid konden aanvallers de vangrails omzeilen en gevoelige gebruikersgegevens stelen via geheime domeinquery’s
- OpenAI patchte het probleem op 20 februari 2026 en markeerde de tweede grote oplossing die week na de fout in de Codex-opdrachtinjectie
OpenAI heeft een kwetsbaarheid in ChatGPT aangepakt waardoor bedreigingsactoren stilletjes gevoelige gegevens van hun doelen konden exfiltreren.
De kwetsbaarheid werd ontdekt door beveiligingsexperts van Check Point Research (CPR), die waarschuwden dat de bug ouderwetse promptinjecties combineerde met het omzeilen van ingebouwde vangrails, waarbij ze opmerkten: “AI-tools mogen niet standaard als veilig worden beschouwd”.
Tegenwoordig delen de meeste mensen snel zeer gevoelige gegevens met ChatGPT – medische aandoeningen, contracten, betalingsbewijzen, screenshots van gesprekken met partners, echtgenoten en meer. Ze gaan ervan uit dat de informatie veilig is, omdat deze niet zonder hun medeweten of toestemming uit de tool kan worden gehaald.
Artikel gaat hieronder verder
DNS-verkeer is geen risicovol gedrag
In theorie klopt dat. De gegevens kunnen worden geëxfiltreerd via HTTP of externe API’s, en beide kunnen worden opgemerkt of op zijn minst worden gevolgd. CPR dacht echter buiten de gebaande paden en vond een geheel nieuwe manier om de informatie op te halen: via DNS.
“Hoewel directe internettoegang werd geblokkeerd zoals bedoeld, bleef DNS-resolutie beschikbaar als onderdeel van de normale systeemwerking”, legden ze uit. “DNS wordt doorgaans behandeld als een onschadelijke infrastructuur, die wordt gebruikt om domeinnamen op te lossen, niet om gegevens te verzenden. DNS kan echter worden misbruikt als een geheim transportmechanisme door informatie in domeinquery’s te coderen.”
Omdat DNS-activiteit niet wordt bestempeld als uitgaand delen van gegevens, geeft ChatGPT geen goedkeuringsdialoogvensters, geeft het geen waarschuwingen weer en herkent het gedrag niet als inherent riskant.
“Dit creëerde een blinde vlek. Het platform ging ervan uit dat de omgeving geïsoleerd was. Het model ging ervan uit dat het volledig binnen ChatGPT werkte. En gebruikers gingen ervan uit dat hun gegevens niet zonder toestemming konden worden verlaten”, aldus CPR. “Alle drie de aannames waren redelijk en alle drie onvolledig. Dit is een cruciale conclusie voor beveiligingsteams: AI-vangrails zijn vaak gericht op beleid en bedoelingen, terwijl aanvallers de infrastructuur en het gedrag misbruiken.”
Om de aanval op gang te brengen moet ChatGPT nog steeds worden gevraagd, dus de initiële trigger moet nog steeds worden overgehaald. Dat kan echter op talloze manieren worden gedaan, door een kwaadaardige prompt in een e-mail, een pdf-document of via een website te injecteren.
Toch zijn er andere methoden om deze fout te misbruiken, zelfs zonder dat GPT per ongeluk op een gesmokkelde prompt inwerkt, en wel via aangepaste GPT’s.
Een hackgroep kan bijvoorbeeld een aangepaste GPT bouwen om als persoonlijke arts op te treden. Slachtoffers die het gebruiken, uploaden laboratoriumresultaten met persoonlijke informatie, vragen om advies en krijgen de bevestiging dat hun gegevens niet worden gedeeld.
Maar in werkelijkheid zou een server onder controle van de aanvallers alle geüploade bestanden ontvangen. Tot overmaat van ramp hoeft GPT niet eens hele documenten te uploaden; het kan alleen de essentie eruit filteren, waardoor het proces slanker, sneller en gestroomlijnder wordt.
Gelukkig voor iedereen ontdekte CPR deze kwetsbaarheid voordat deze in het wild werd uitgebuit. Het heeft dit op verantwoorde wijze bekendgemaakt aan OpenAI, dat op 20 februari 2026 een volledige oplossing heeft geïmplementeerd.
Patchen van ChatGPT en Codex
Dit is de tweede grote kwetsbaarheid die OpenAI deze week moest aanpakken. Eerder vandaag rapporteerde TechRadar Pro over OpenAI’s ChatGPT Codex met een kritieke kwetsbaarheid voor commando-injectie waardoor bedreigingsactoren gevoelige GitHub-authenticatietokens konden stelen.
OpenAI repareerde dus ook een fout die voortkomt uit de manier waarop Codex vertakkingsnamen verwerkt tijdens het maken van taken. Met de tool kon een kwaadwillende actor de branch-parameter manipuleren en willekeurige shell-opdrachten injecteren tijdens het opzetten van de omgeving. Deze opdrachten kunnen elke code in de container uitvoeren, inclusief kwaadaardige code. Onderzoekers Phantom Labs zeiden dat ze op deze manier GitHub OAuth-tokens konden ophalen, toegang kregen tot een theoretisch project van derden en de tokens konden gebruiken om lateraal binnen GitHub te bewegen.
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En dat kan natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons WhatsAppen te.
