OpenAI sanoo virheen paljastaneen ChatGPT-arkaluonteisia käyttäjätietoja

Muutama päivä sitten esiin tullut ChatGPT-virhe oli hieman vakavampi kuin mitä mainostettiin. ChatGPT Plus -tilaajien henkilötiedot ovat saattaneet paljastua.

OpenAI joutui sulkemaan suositun ChatGPT-chatbotin muutama päivä sitten sen jälkeen, kun käyttäjä onnistui hyödyntämään järjestelmän porsaanreikää saadakseen muiden käyttäjien keskustelunimihistorian. Yhtiö julkaisi tänään ensimmäiset havaintonsa tästä tapauksesta, joka oli lopulta vakavampi kuin alun perin kerrottiin .

Muutama päivä sitten ilmennyt ChatGPT-virhe osoittautui hieman ilmoitettua vakavammaksi

Aiemmin tällä viikolla tapahtuneessa tapahtumassa käyttäjät julkaisivat kuvakaappauksia ChatGPT-sivupalkistaan ​​Redditissä, jossa näkyvät muiden käyttäjien aiempien keskustelujen otsikot. Vain otsikot. Vastauksena tähän vakavaan ongelmaan OpenAI on päättänyt sulkea chatbotin, joka on lähes 10 tuntia kestänyt palvelukatkos, joten aikaa tutkia asiaa. Tämän analyysin tulokset paljastivat melko vakavan tietoturvaongelman: chat-historian virhe olisi myös voinut vuotaa noin 1,2 %:n ChatGPT Plus -tilaajien henkilötiedot – 20 dollarin kuukausitilaus.

”Tunteja ennen ChatGPT:n sulkemista jotkut käyttäjät näkivät etu- ja sukunimen, sähköpostiosoitteen, laskutusosoitteen, neljä viimeistä numeroa ja luottokortin vanhenemispäivämäärän, muita aktiivisia käyttäjiä. Täydellisiä luottokorttien numeroita ei ole koskaan julkaistu”, OpenAI-tiimi sanoo. Ongelma on korjattu, haavoittuvuus oli kolmannen osapuolen avoimen lähdekoodin Redis-asiakaskirjastossa, redis-py.

ChatGPT Plus -tilaajien henkilötiedot ovat saattaneet paljastua

Yhtiö halusi kuitenkin minimoida tämän paljastamisen laajuuden selittämällä kriteerit, jotka on täytettävä näiden henkilötietojen tehokkaalle paljastamiselle: ”Avaa maanantaina 20. maaliskuuta lähetetty rekisteröintivahvistussähköposti kello 1.00–10.00 (Tyynenmeren aikavyöhyke). Virheen vuoksi osa tämän ajanjakson aikana luoduista sähköposteista lähetettiin väärille käyttäjille. Nämä sähköpostit sisälsivät luottokortin numeron neljä viimeistä numeroa, mutta eivät koko numeroa. On mahdollista, että pieni määrä vahvistussähköpostia lähetettiin ennen maaliskuun 20. päivää, mutta meillä ei ole vahvistusta sellaisista tapauksista.” Toinen mahdollinen skenaario: ”Napsauta ChatGPT:ssä ”Oma tili” ja sitten ”Hallinnoi tilaustani” klo 1.00–10.00 PT tänä maanantaina 20. maaliskuuta. Tämän aikaikkunan aikana sukunimi, etunimi, laskutusosoite, neljä viimeistä numeroa, ja toisen aktiivisen ChatGPT Plus -käyttäjän luottokortin viimeinen voimassaolopäivä saattaa olla näkyvissä. On mahdollista, että tämä voi tapahtua ennen maaliskuun 20. päivää, mutta meillä ei ole vahvistusta tällaisesta tapauksesta.

Yritys on ryhtynyt lisätoimiin estääkseen tämän virheen toistumisen, mukaan lukien lisännyt ylimääräisiä tarkistuksia tällaisiin kirjastoihin soitettaessa, ”tarkistanut järjestelmällisesti lokimme varmistaaksemme, että kaikki viestit ovat vain oikeiden käyttäjien saatavilla” ja ”parantamalla lokeja, jotta voidaan tunnistaa, milloin tällainen tapaus tapahtuu, ja pystyä varmistamaan tarkalleen, milloin se katosi.” Yritys kertoo myös ottaneensa yhteyttä käyttäjiin, joihin aihe vaikuttaa.