OpenAI sako, kad klaida atskleidė jautrius „ChatGPT“ vartotojo duomenis

ChatGPT klaida, kuri atsirado prieš kelias dienas, buvo šiek tiek rimtesnė nei buvo reklamuojama. Gali būti atskleisti „ChatGPT Plus“ abonentų asmens duomenys.

„OpenAI“ prieš kelias dienas buvo priverstas išjungti savo populiarų „ChatGPT“ pokalbių robotą, kai vartotojas sugebėjo išnaudoti sistemos spragą, kad gautų kitų vartotojų pokalbių pavadinimų istoriją. Šiandien bendrovė paskelbė pirmąsias šio incidento išvadas, kurios buvo rimtesnės, nei buvo nurodyta iš pradžių .

Prieš kelias dienas įvykusi „ChatGPT“ klaida pasirodė šiek tiek rimtesnė nei buvo paskelbta

Anksčiau šią savaitę įvykusio incidento metu vartotojai „Reddit“ paskelbė savo „ChatGPT“ šoninės juostos ekrano kopijas, kuriose rodomi kitų vartotojų ankstesnių pokalbių pavadinimai. Tik pavadinimai. „OpenAI“, reaguodama į šią rimtą problemą, nusprendė išjungti savo pokalbių robotą – paslaugos pertrūkį, kuris truko beveik 10 valandų, ir laikas išnagrinėti šį klausimą. Šios analizės rezultatai atskleidė gana rimtą saugumo problemą: pokalbių istorijos klaida taip pat galėjo nutekinti maždaug 1,2% „ChatGPT Plus“ abonentų asmeninius duomenis – 20 USD per mėnesį prenumerata.

„Likus kelioms valandoms iki ChatGPT išjungimo, kai kurie vartotojai galėjo matyti vardą ir pavardę, el. pašto adresą, atsiskaitymo adresą, paskutinius keturis skaitmenis ir kredito kortelės galiojimo datą, kitus aktyvius vartotojus. Visi kredito kortelių numeriai niekada nebuvo paskelbti“, – sako OpenAI komanda. Problema išspręsta, pažeidžiamumas buvo trečiosios šalies atvirojo kodo „Redis“ kliento bibliotekoje, „redis-py“.

Gali būti atskleisti „ChatGPT Plus“ abonentų asmens duomenys

Tačiau bendrovė norėjo sumažinti šio atskleidimo apimtį, paaiškindama kriterijus, kurių turi būti laikomasi norint veiksmingai atskleisti šiuos asmens duomenis: „Atverkite registracijos patvirtinimo el. laišką, išsiųstą pirmadienį, kovo 20 d., nuo 1:00 iki 10:00 (Ramiojo vandenyno laiko juosta). Dėl klaidos kai kurie iš šių per šį laikotarpį sugeneruotų el. laiškų buvo išsiųsti netinkamiems vartotojams. Šiuose el. laiškuose buvo paskutiniai keturi kredito kortelės numerio skaitmenys, bet ne visas numeris. Gali būti, kad iki kovo 20 d. buvo išsiųstas nedidelis patvirtinimo el. laiškų skaičius, tačiau tokių atvejų patvirtinimo neturime. Kitas galimas scenarijus: „Šį pirmadienį, kovo 20 d., „ChatGPT“ spustelėkite „Mano paskyra“, tada „Tvarkyti mano prenumeratą“ nuo 1 iki 10 val. PT. Per šį laiko langą pavardė, vardas, atsiskaitymo adresas, paskutiniai keturi skaitmenys, ir kito aktyvaus „ChatGPT Plus“ vartotojo kredito kortelės galiojimo laikas gali būti matomas. Gali būti, kad tai gali įvykti iki kovo 20 d., tačiau patvirtinimo apie tokį atvejį neturime.

Bendrovė ėmėsi papildomų veiksmų, kad ši klaida nepasikartotų, įskaitant perteklines patikras skambinant į tokias bibliotekas, „sistemingai peržiūrėjo mūsų žurnalus, kad įsitikintume, jog visi pranešimai pasiekiami tik reikiamiems vartotojams“ ir „patobulino žurnalus, kad nustatytų, kada įvyksta toks incidentas, ir kad būtų galima tiksliai patvirtinti, kada jis dingo“.