OpenAI říká, že chyba odhalila citlivá uživatelská data ChatGPT

Chyba ChatGPT, která se objevila před několika dny, byla o něco závažnější než to, co bylo inzerováno. Osobní údaje předplatitelů ChatGPT Plus mohly být odhaleny.

OpenAI byla nucena před několika dny vypnout svého oblíbeného chatbota ChatGPT poté, co se uživateli podařilo využít mezeru v systému k získání historie chatovacích titulů ostatních uživatelů. Společnost dnes zveřejnila první zjištění o tomto incidentu, který byl nakonec vážnější, než se původně uvádělo .

Chyba ChatGPT, která se objevila před několika dny, se ukázala být o něco vážnější, než bylo oznámeno

V incidentu na začátku tohoto týdne uživatelé zveřejnili snímky obrazovky svého postranního panelu ChatGPT na Redditu, které ukazovaly názvy předchozích konverzací ostatních uživatelů. Pouze tituly. OpenAI v reakci na tento vážný problém přijalo rozhodnutí vypnout jejich chatbota, přerušení služby, které trvalo téměř 10 hodin, je čas se na věc podívat. Výsledky této analýzy odhalily poměrně závažný bezpečnostní problém: chyba historie chatu mohla také způsobit únik osobních údajů přibližně 1,2 % předplatitelů ChatGPT Plus – předplatné 20 USD měsíčně.

„V hodinách před vypnutím ChatGPT mohli někteří uživatelé vidět jméno a příjmení, e-mailovou adresu, fakturační adresu, poslední čtyři číslice a datum vypršení platnosti kreditní karty, ostatní aktivní uživatelé. Úplná čísla kreditních karet nebyla nikdy zveřejněna,“ říká tým OpenAI. Problém byl opraven, zranitelnost byla v open source klientské knihovně Redis třetí strany, redis-py.

Osobní údaje předplatitelů ChatGPT Plus mohly být odhaleny

Společnost však chtěla rozsah tohoto zveřejnění minimalizovat vysvětlením kritérií, která musí být splněna pro účinné zveřejnění těchto osobních údajů: „Otevřete e-mail s potvrzením registrace odeslaný v pondělí 20. března mezi 1:00 a 10:00 (pacifické časové pásmo). Kvůli chybě byly některé z těchto e-mailů generovaných během tohoto časového okna odeslány nesprávným uživatelům. Tyto e-maily obsahovaly poslední čtyři číslice čísla kreditní karty, ale ne celé číslo. Je možné, že před 20. březnem byl odeslán malý počet potvrzovacích e-mailů, ale nemáme žádné potvrzení o takových případech.“ Další možný scénář: „V ChatGPT klikněte na ‚Můj účet‘ a poté na ‚Spravovat mé předplatné‘ mezi 1:00 a 10:00 PT toto pondělí 20. března. Během tohoto časového okna se zobrazí příjmení, jméno, fakturační adresa, poslední čtyři číslice, a datum vypršení platnosti kreditní karty jiného aktivního uživatele ChatGPT Plus může být viditelné. Je možné, že by se tak mohlo stát před 20. březnem, ale žádný takový případ nemáme potvrzený.

Společnost podnikla další kroky, aby zabránila opakování této chyby, včetně přidání nadbytečných kontrol při volání takových knihoven, „systematické kontroly našich protokolů, abychom se ujistili, že všechny zprávy jsou dostupné pouze správným uživatelům“ a „vylepšením protokolů, aby bylo možné identifikovat, kdy k takovému incidentu došlo, a bylo možné přesně potvrdit, kdy zmizel.“ Společnost také vysvětluje, že kontaktovala uživatele, kterých se téma týká.