OpenAI siger, at fejlen afslørede ChatGPT-følsomme brugerdata

ChatGPT-fejlen, der dukkede op for et par dage siden, var lidt mere alvorlig end den, der blev annonceret. Personlige data om ChatGPT Plus-abonnenter kan være blevet afsløret.

OpenAI blev tvunget til at lukke sin populære ChatGPT-chatbot ned for et par dage siden, efter at en bruger formåede at udnytte et smuthul i systemet til at få andre brugeres chattitelhistorik. Virksomheden offentliggjorde i dag sine første resultater om denne hændelse, som endte med at blive mere alvorlig end oprindeligt angivet .

En ChatGPT-fejl, der opstod for et par dage siden, viste sig at være lidt mere alvorlig end annonceret

I en hændelse tidligere på ugen postede brugere skærmbilleder af deres ChatGPT-sidebjælke på Reddit, der viser titlerne på andre brugeres tidligere samtaler. Kun titler. OpenAI, som svar på dette alvorlige problem, har taget beslutningen om at lukke deres chatbot ned, en tjenesteafbrydelse, der varede næsten 10 timer, tid til at undersøge sagen. Resultaterne af denne analyse afslørede et temmelig alvorligt sikkerhedsproblem: en chathistorik-fejl kunne også have lækket personlige data for cirka 1,2 % af ChatGPT Plus-abonnenterne – et abonnement på $20 pr. måned –.

“I timerne før nedlukningen af ​​ChatGPT kunne nogle brugere se for- og efternavn, e-mailadresse, faktureringsadresse, sidste fire cifre og kreditkortets udløbsdato, andre aktive brugere. Fuldstændige kreditkortnumre er aldrig blevet frigivet,” siger OpenAI-teamet. Problemet er blevet rettet, sårbarheden var i et tredjeparts open source Redis-klientbibliotek, redis-py.

Personlige data om ChatGPT Plus-abonnenter kan være blevet afsløret

Virksomheden ønskede dog at minimere omfanget af denne offentliggørelse ved at forklare de kriterier, der skal være opfyldt for effektiv offentliggørelse af disse personlige data: “Åbn registreringsbekræftelsen sendt mandag den 20. marts mellem kl. 1:00 og 10:00 (Pacific Time Zone). På grund af en fejl blev nogle af disse e-mails genereret i løbet af dette tidsvindue sendt til de forkerte brugere. Disse e-mails indeholdt de sidste fire cifre i kreditkortnummeret, men ikke det fulde nummer. Det er muligt, at et lille antal bekræftelsesmails blev sendt før den 20. marts, men vi har ingen bekræftelse af sådanne tilfælde.” Et andet muligt scenarie: “I ChatGPT skal du klikke på ‘Min konto’ og derefter ‘Administrer mit abonnement’ mellem kl. 1:00 og 10:00 PT denne mandag den 20. marts. I løbet af dette tidsvindue, efternavn, fornavn, faktureringsadresse, sidste fire cifre, og kreditkortets udløbsdato for en anden aktiv ChatGPT Plus-bruger kan være synlig. Det er muligt, at dette kan ske inden den 20. marts, men vi har ikke bekræftelse på et sådant tilfælde.

Virksomheden har taget yderligere skridt for at forhindre denne fejl i at ske igen, herunder tilføjelse af redundante kontroller ved opkald til sådanne biblioteker, “systematisk gennemgang af vores logfiler for at sikre, at alle beskeder kun er tilgængelige for de rigtige brugere” og “ved at forbedre logfilerne for at identificere, hvornår en sådan hændelse opstår og være i stand til at bekræfte præcis, hvornår den forsvandt.” Virksomheden forklarer også, at den har kontaktet de brugere, der er berørt af emnet.