OpenAI ütleb, et viga on paljastanud tundlikud ChatGPT kasutajaandmed

Paar päeva tagasi ilmnenud ChatGPT viga oli pisut tõsisem kui see, mida reklaamiti. ChatGPT Plusi tellijate isikuandmed võisid avalikustada.

OpenAI oli sunnitud mõne päeva eest oma populaarse ChatGPT vestlusroti sulgema pärast seda, kui kasutajal õnnestus süsteemis olevat lünka ära kasutada, et saada teiste kasutajate vestluste pealkirjade ajalugu. Ettevõte avaldas täna oma esimesed järeldused selle juhtumi kohta, mis oli algselt väidetust tõsisem .

Mõni päev tagasi ilmnenud ChatGPT viga osutus väljakuulutatust pisut tõsisemaks

Selle nädala alguses toimunud juhtumis postitasid kasutajad Redditi oma ChatGPT külgriba ekraanipilte, mis näitasid teiste kasutajate varasemate vestluste pealkirju. Ainult pealkirjad. Sellele tõsisele probleemile reageerides on OpenAI võtnud vastu otsuse sulgeda oma vestlusrobot, mis on peaaegu 10 tundi kestnud teenusekatkestus, mis on aeg asja uurida. Selle analüüsi tulemused näitasid üsna tõsist turvaprobleemi: vestlusajaloo viga võis lekkida ka ligikaudu 1,2% ChatGPT Plusi abonentide isikuandmed – 20 dollari suurune tellimus kuus.

“Tundide jooksul enne ChatGPT sulgemist nägid mõned kasutajad ees- ja perekonnanime, e-posti aadressi, arveldusaadressi, nelja viimast numbrit ja krediitkaardi aegumiskuupäeva, teisi aktiivseid kasutajaid. Täielikke krediitkaardinumbreid pole kunagi avaldatud, ”ütleb OpenAI meeskond. Probleem on lahendatud, haavatavus oli kolmanda osapoole avatud lähtekoodiga Redise klienditeegis, redis-py.

ChatGPT Plusi tellijate isikuandmed võisid avalikustada

Ettevõte soovis aga selle avalikustamise ulatust minimeerida, selgitades kriteeriume, mis peavad olema täidetud nende isikuandmete tõhusaks avaldamiseks: „Avage esmaspäeval, 20. märtsil kell 1.00–10.00 (Vaikse ookeani ajavöönd) saadetud registreerimiskinnitusmeil. Vea tõttu saadeti osa nendest selle aja jooksul loodud meilidest valedele kasutajatele. Need meilid sisaldasid krediitkaardi numbri nelja viimast numbrit, kuid mitte täisnumbrit. Võimalik, et enne 20. märtsi saadeti väike arv kinnitusmeile, kuid meil pole selliste juhtumite kohta kinnitust. Teine võimalik stsenaarium: „ChatGPT-s klõpsake sellel esmaspäeval, 20. märtsil kella 1.00–10.00 PT vahel valikul „Minu konto” ja seejärel valikul „Halda minu tellimust”. Selle aja jooksul perekonnanimi, eesnimi, arveldusaadress, neli viimast numbrit, ja mõne muu aktiivse ChatGPT Plus kasutaja krediitkaardi aegumiskuupäev võib olla nähtav. Võimalik, et see võib juhtuda enne 20. märtsi, kuid meil pole ühegi sellise juhtumi kohta kinnitust.

Ettevõte on astunud täiendavaid samme, et vältida selle vea kordumist, sealhulgas lisanud sellistesse teekidesse helistamisel üleliigseid kontrolle, “vaadanud süstemaatiliselt üle meie logid, et veenduda, et kõik sõnumid on saadaval ainult õigetele kasutajatele” ja “täiustanud logisid, et tuvastada, millal selline intsident juhtus ja et saaks täpselt kindlaks teha, millal see kadus.” Ettevõte selgitab ka, et on võtnud ühendust kasutajatega, keda teema puudutab.