OpenAI, 버그 공개 ChatGPT 민감한 사용자 데이터

며칠 전에 올라온 ChatGPT 버그는 공지된 것보다 조금 더 심각했습니다. ChatGPT Plus 가입자의 개인 데이터가 노출되었을 수 있습니다.

OpenAI는 며칠 전 사용자가 다른 사용자의 채팅 제목 기록을 얻기 위해 시스템의 허점을 악용한 후 인기 있는 ChatGPT 챗봇을 종료해야 했습니다. 회사는 오늘 이 사건에 대한 첫 번째 조사 결과를 발표했으며, 이는 원래 언급된 것보다 더 심각 했습니다 .

며칠 전에 발생한 ChatGPT 버그가 발표된 것보다 조금 더 심각한 것으로 판명되었습니다.

이번 주 초 발생한 사건에서 사용자는 다른 사용자의 이전 대화 제목을 보여주는 ChatGPT 사이드바의 스크린샷을 Reddit에 게시했습니다. 제목만. 이 심각한 문제에 대응하여 OpenAI는 문제를 조사할 시간인 거의 10시간 동안 지속된 서비스 중단인 챗봇을 종료하기로 결정했습니다. 이 분석 결과는 다소 심각한 보안 문제를 드러냈습니다. 채팅 기록 버그로 인해 ChatGPT Plus 가입자의 약 1.2%(월 $20 가입)의 개인 데이터가 유출되었을 수도 있습니다.

“ChatGPT가 종료되기 몇 시간 전에 일부 사용자는 이름과 성, 이메일 주소, 청구서 수신 주소, 마지막 4자리 숫자 및 신용 카드 만료 날짜, 다른 활성 사용자를 볼 수 있었습니다. 전체 신용 카드 번호는 공개된 적이 없습니다.”라고 OpenAI 팀은 말합니다. 이 문제는 수정되었으며, 취약점은 타사 오픈 소스 Redis 클라이언트 라이브러리인 redis-py에 있었습니다.

ChatGPT Plus 가입자의 개인 데이터가 노출되었을 수 있습니다.

그러나 회사는 이 개인 데이터의 효과적인 공개를 위해 충족해야 하는 기준을 설명함으로써 공개 범위를 최소화하기를 원했습니다. 버그로 인해 이 기간 동안 생성된 일부 이메일이 잘못된 사용자에게 전송되었습니다. 이 이메일에는 신용카드 번호의 마지막 4자리가 포함되어 있지만 전체 번호는 포함되어 있지 않습니다. 3월 20일 이전에 소수의 확인 메일이 발송되었을 가능성이 있지만 그런 경우는 확인된 바가 없습니다.” 또 다른 가능한 시나리오: “ChatGPT에서 3월 20일 월요일 오전 1시에서 오전 10시(PT) 사이에 ‘내 계정’을 클릭한 다음 ‘내 구독 관리’를 클릭하세요. 이 기간 동안 성, 이름, 청구서 수신 주소, 마지막 4자리 숫자, 다른 활성 ChatGPT Plus 사용자의 신용 카드 만료일을 볼 수 있습니다. 3월 20일 이전에 이러한 일이 발생할 수 있지만 그러한 경우에 대한 확인은 없습니다.

회사는 이러한 오류가 다시 발생하지 않도록 추가 조치를 취했습니다. 이러한 라이브러리를 호출할 때 중복 검사를 추가하고 “모든 메시지가 올바른 사용자만 사용할 수 있도록 로그를 체계적으로 검토”하고 “로그를 개선하여 이러한 사건이 발생했을 때 식별하고 정확히 언제 사라졌는지 확인할 수 있습니다. 회사는 또한 주제에 영향을 받는 사용자에게 연락했다고 설명합니다.