OpenAI afferma che il bug ha rivelato i dati utente sensibili di ChatGPT
Il bug di ChatGPT emerso qualche giorno fa era un po’ più grave di quanto pubblicizzato. I dati personali degli abbonati ChatGPT Plus potrebbero essere stati esposti.
OpenAI è stato costretto a chiudere il suo popolare chatbot ChatGPT pochi giorni fa dopo che un utente è riuscito a sfruttare una scappatoia nel sistema per ottenere la cronologia dei titoli delle chat di altri utenti. La società ha pubblicato oggi i suoi primi risultati su questo incidente, che si è rivelato più grave di quanto inizialmente dichiarato .
Un bug di ChatGPT verificatosi qualche giorno fa si è rivelato un po’ più grave di quanto annunciato
In un incidente all’inizio di questa settimana, gli utenti hanno pubblicato schermate della barra laterale di ChatGPT su Reddit che mostrano i titoli delle conversazioni precedenti di altri utenti. Solo titoli. OpenAI, in risposta a questo grave problema, ha preso la decisione di chiudere il proprio chatbot, un’interruzione del servizio durata quasi 10 ore, il tempo di approfondire la questione. I risultati di questa analisi hanno rivelato un problema di sicurezza piuttosto serio: un bug della cronologia chat potrebbe anche aver fatto trapelare i dati personali di circa l’1,2% degli abbonati ChatGPT Plus – un abbonamento di 20 dollari al mese -.
“Nelle ore precedenti la chiusura di ChatGPT, alcuni utenti potevano vedere nome e cognome, indirizzo email, indirizzo di fatturazione, ultime quattro cifre e data di scadenza della carta di credito, altri utenti attivi. I numeri completi delle carte di credito non sono mai stati rilasciati”, afferma il team di OpenAI. Il problema è stato risolto, la vulnerabilità era in una libreria client Redis open source di terze parti, redis-py.
I dati personali degli abbonati ChatGPT Plus potrebbero essere stati esposti
Tuttavia, la società ha voluto ridurre al minimo la portata di questa divulgazione spiegando i criteri che devono essere soddisfatti per un’efficace divulgazione di questi dati personali: “Apri l’e-mail di conferma della registrazione inviata lunedì 20 marzo tra l’1: 00 e le 10: 00 (fuso orario del Pacifico). A causa di un bug, alcune di queste email generate durante questa finestra temporale sono state inviate agli utenti sbagliati. Queste e-mail contenevano le ultime quattro cifre del numero della carta di credito, ma non il numero completo. È possibile che un numero limitato di e-mail di conferma sia stato inviato prima del 20 marzo, ma non abbiamo alcuna conferma di tali casi”. Un altro possibile scenario: “In ChatGPT, fai clic su ‘Il mio account’, quindi su ‘Gestisci il mio abbonamento’ tra l’1:00 e le 10:00 PT questo lunedì 20 marzo. Durante questa finestra temporale, il cognome, il nome, l’indirizzo di fatturazione, le ultime quattro cifre, e la data di scadenza della carta di credito di un altro utente ChatGPT Plus attivo potrebbe essere visibile. È possibile che ciò accada prima del 20 marzo, ma non abbiamo conferme di alcun caso del genere.
L’azienda ha adottato ulteriori misure per evitare che questo errore si ripeta, inclusa l’aggiunta di controlli ridondanti quando si chiamano tali librerie, “esaminando sistematicamente i nostri registri per assicurarsi che tutti i messaggi siano disponibili solo per gli utenti giusti” e “migliorando i registri per identificare quando si verifica un tale incidente ed essere in grado di confermare esattamente quando è scomparso”. L’azienda spiega inoltre di aver contattato gli utenti interessati dall’argomento.
Lascia un commento