OpenAI、ChatGPTの機密ユーザーデータのバグが明らかになったと発表

数日前に発生した ChatGPT のバグは、宣伝されているものよりも少し深刻でした。ChatGPT Plus 加入者の個人データが漏洩した可能性があります。

OpenAIは数日前、ユーザーがシステムの抜け穴を悪用して他のユーザーのチャットタイトル履歴を取得したため、人気のChatGPTチャットボットの閉鎖を余儀なくされた。同社は本日、この事件に関する最初の調査結果を発表しましたが、結果的に当初の発表よりも深刻なものとなりました。

数日前に発生したChatGPTのバグは、発表されていたよりも少し深刻であることが判明しました

今週初めの事件では、ユーザーが他のユーザーの以前の会話のタイトルを表示した ChatGPT サイドバーのスクリーンショットを Reddit に投稿しました。タイトルのみ。OpenAI は、この深刻な問題に対応して、チャットボットをシャットダウンする決定を下しました。サービスの中断は 10 時間近く続き、問題を調査する時間となりました。この分析の結果、かなり深刻なセキュリティ問題が明らかになりました。チャット履歴のバグにより、ChatGPT Plus 加入者 (月額 20 ドルの加入者) の約 1.2% の個人データも漏洩した可能性があります。

「ChatGPT がシャットダウンされる数時間前に、一部のユーザーは姓名、電子メール アドレス、請求先住所、下 4 桁、クレジット カードの有効期限を確認でき、他のアクティブ ユーザーも確認できました。完全なクレジット カード番号は公開されたことはありません」と OpenAI チームは述べています。この問題は修正されており、脆弱性はサードパーティのオープンソース Redis クライアント ライブラリである redis-py にありました。

ChatGPT Plus加入者の個人データが流出した可能性がある

しかし、同社は、この個人データを効果的に開示するために満たさなければならない基準を説明することで、この開示の範囲を最小限に抑えたいと考えていました。バグにより、この期間中に生成されたメールの一部が間違ったユーザーに送信されました。これらのメールには、クレジット カード番号の最後の 4 桁が含まれていましたが、完全な番号は含まれていませんでした。3 月 20 日より前に少数の確認メールが送信された可能性がありますが、そのようなケースは確認されていません。」考えられる別のシナリオ: 「ChatGPT で、太平洋時間の今週月曜日、3 月 20 日の午前 1 時から午前 10 時の間に、[マイ アカウント] をクリックし、次に [サブスクリプションの管理] をクリックします。この期間中、姓、名、請求先住所、最後の 4 桁、別のアクティブな ChatGPT Plus ユーザーのクレジット カードの有効期限が表示される可能性があります。3 月 20 日より前にこのようなことが起こる可能性はありますが、そのようなケースは確認されていません。

同社は、このようなライブラリを呼び出す際に冗長チェックを追加すること、「すべてのメッセージが適切なユーザーのみに利用可能であることを確認するためにログを系統的にレビューすること」、「そのようなインシデントがいつ発生したかを特定し、いつ消滅したかを正確に確認できるようにログを改善すること」など、このエラーの再発を防ぐための追加の措置を講じた。また同社は、この話題の影響を受けたユーザーに連絡を取ったと説明している。