Laut OpenAI wurden vertrauliche ChatGPT-Benutzerdaten durch einen Fehler aufgedeckt

Der vor ein paar Tagen aufgetretene ChatGPT-Fehler war etwas schwerwiegender als angekündigt. Möglicherweise wurden personenbezogene Daten von ChatGPT Plus-Abonnenten offengelegt.

OpenAI musste vor einigen Tagen seinen beliebten ChatGPT-Chatbot abschalten, nachdem es einem Benutzer gelungen war, eine Lücke im System auszunutzen, um an den Chattitelverlauf anderer Benutzer zu gelangen. Das Unternehmen veröffentlichte heute seine ersten Erkenntnisse zu diesem Vorfall, der letztlich schwerwiegender war als ursprünglich angegeben .

Ein vor einigen Tagen aufgetretener ChatGPT-Bug erwies sich als etwas schwerwiegender als angekündigt

Bei einem Vorfall Anfang dieser Woche haben Benutzer Screenshots ihrer ChatGPT-Seitenleiste auf Reddit gepostet, die die Titel früherer Konversationen anderer Benutzer zeigen. Nur Titel. Als Reaktion auf dieses ernste Problem hat OpenAI beschlossen, seinen Chatbot abzuschalten, eine Dienstunterbrechung, die fast 10 Stunden dauerte, Zeit, sich mit der Angelegenheit zu befassen. Die Ergebnisse dieser Analyse offenbarten ein ziemlich ernstes Sicherheitsproblem: Durch einen Chat-Verlaufsfehler könnten auch die persönlichen Daten von etwa 1,2 % der ChatGPT Plus-Abonnenten – ein Abonnement für 20 US-Dollar pro Monat – preisgegeben worden sein.

„In den Stunden vor der Abschaltung von ChatGPT konnten einige Benutzer Vor- und Nachname, E-Mail-Adresse, Rechnungsadresse, die letzten vier Ziffern und das Ablaufdatum der Kreditkarte sehen, andere aktive Benutzer.“ Vollständige Kreditkartennummern wurden nie veröffentlicht“, sagt das OpenAI-Team. Das Problem wurde behoben. Die Schwachstelle befand sich in der Open-Source-Redis-Clientbibliothek redis-py eines Drittanbieters.

Möglicherweise wurden personenbezogene Daten von ChatGPT Plus-Abonnenten offengelegt

Allerdings wollte das Unternehmen den Umfang dieser Offenlegung minimieren, indem es die Kriterien erläuterte, die für eine wirksame Offenlegung dieser personenbezogenen Daten erfüllt sein müssen: „Öffnen Sie die Registrierungsbestätigungs-E-Mail, die am Montag, dem 20. März, zwischen 1:00 und 10:00 Uhr (Pazifische Zeitzone) gesendet wurde.“ Aufgrund eines Fehlers wurden einige dieser in diesem Zeitfenster generierten E-Mails an die falschen Benutzer gesendet. Diese E-Mails enthielten die letzten vier Ziffern der Kreditkartennummer, jedoch nicht die vollständige Nummer. Es ist möglich, dass vor dem 20. März eine kleine Anzahl von Bestätigungs-E-Mails gesendet wurde, aber wir haben keine Bestätigung für solche Fälle.“ Ein weiteres mögliches Szenario: „Klicken Sie in ChatGPT an diesem Montag, dem 20. März, zwischen 1:00 und 10:00 Uhr PT auf „Mein Konto“ und dann auf „Mein Abonnement verwalten“. In diesem Zeitfenster werden der Nachname, Vorname, Rechnungsadresse, die letzten vier Ziffern, und das Ablaufdatum der Kreditkarte eines anderen aktiven ChatGPT Plus-Benutzers könnten sichtbar sein. Es ist möglich, dass dies vor dem 20. März geschieht, wir haben jedoch keine Bestätigung für einen solchen Fall.

Das Unternehmen hat zusätzliche Schritte unternommen, um zu verhindern, dass dieser Fehler erneut auftritt, darunter das Hinzufügen redundanter Prüfungen beim Aufruf solcher Bibliotheken, „die systematische Überprüfung unserer Protokolle, um sicherzustellen, dass alle Nachrichten nur den richtigen Benutzern zur Verfügung stehen“ und „die Verbesserung der Protokolle, um zu erkennen, wann ein solcher Vorfall auftritt und um genau bestätigen zu können, wann er verschwunden ist.“ Das Unternehmen erklärt außerdem, dass es von dem Thema betroffene Benutzer kontaktiert hat.