OpenAI dice que un error reveló datos de usuario confidenciales de ChatGPT

El error de ChatGPT que apareció hace unos días fue un poco más grave de lo que se anunciaba. Los datos personales de los suscriptores de ChatGPT Plus pueden haber estado expuestos.

OpenAI se vio obligado a cerrar su popular chatbot ChatGPT hace unos días después de que un usuario logró explotar una laguna en el sistema para obtener el historial de títulos de chat de otros usuarios. La compañía dio a conocer hoy sus primeros hallazgos sobre este incidente, que terminó siendo más grave de lo que se dijo originalmente .

Un error de ChatGPT que ocurrió hace unos días resultó ser un poco más grave de lo anunciado

En un incidente a principios de esta semana, los usuarios publicaron capturas de pantalla de su barra lateral de ChatGPT en Reddit que mostraban los títulos de las conversaciones anteriores de otros usuarios. Solo títulos. OpenAI, en respuesta a este grave problema, ha tomado la decisión de cerrar su chatbot, una interrupción del servicio que duró casi 10 horas, tiempo para investigar el asunto. Los resultados de este análisis revelaron un problema de seguridad bastante grave: un error en el historial de chat también podría haber filtrado los datos personales de aproximadamente el 1,2 % de los suscriptores de ChatGPT Plus (una suscripción de $20 por mes).

“En las horas previas al cierre de ChatGPT, algunos usuarios podían ver el nombre y apellido, la dirección de correo electrónico, la dirección de facturación, los últimos cuatro dígitos y la fecha de vencimiento de la tarjeta de crédito, otros usuarios activos. Los números completos de las tarjetas de crédito nunca se han publicado”, dice el equipo de OpenAI. El problema se solucionó, la vulnerabilidad estaba en una biblioteca de cliente Redis de código abierto de terceros, redis-py.

Los datos personales de los suscriptores de ChatGPT Plus pueden haber estado expuestos

Sin embargo, la empresa quiso minimizar el alcance de esta divulgación explicando los criterios que se deben cumplir para la divulgación efectiva de estos datos personales: “Abra el correo electrónico de confirmación de registro enviado el lunes 20 de marzo entre la 1:00 a. m. y las 10:00 a. m. (zona horaria del Pacífico). Debido a un error, algunos de estos correos electrónicos generados durante este período de tiempo se enviaron a los usuarios equivocados. Estos correos electrónicos contenían los últimos cuatro dígitos del número de la tarjeta de crédito, pero no el número completo. Es posible que se haya enviado una pequeña cantidad de correos electrónicos de confirmación antes del 20 de marzo, pero no tenemos confirmación de tales casos”. Otro escenario posible: “En ChatGPT, haga clic en ‘Mi cuenta’ y luego en ‘Administrar mi suscripción’ entre la 1:00 a. m. y las 10:00 a. m. PT este lunes 20 de marzo. Durante esta ventana de tiempo, el apellido, el nombre, la dirección de facturación, los últimos cuatro dígitos, y la fecha de vencimiento de la tarjeta de crédito de otro usuario activo de ChatGPT Plus podría ser visible. Es posible que esto pueda ocurrir antes del 20 de marzo, pero no tenemos confirmación de tal caso.

La empresa ha tomado medidas adicionales para evitar que este error vuelva a ocurrir, incluida la adición de comprobaciones redundantes al llamar a dichas bibliotecas, «revisar sistemáticamente nuestros registros para asegurarse de que todos los mensajes solo estén disponibles para los usuarios correctos» y «mejorar los registros para identificar cuándo ocurre un incidente de este tipo y poder confirmar exactamente cuándo desapareció». La empresa también explica que se ha puesto en contacto con los usuarios afectados por el tema.