OpenAI saka, ka kļūda atklājusi ChatGPT sensitīvus lietotāja datus

ChatGPT kļūda, kas parādījās pirms dažām dienām, bija nedaudz nopietnāka par reklamēto. Iespējams, tika atklāti ChatGPT Plus abonentu personas dati.

OpenAI pirms dažām dienām bija spiests slēgt savu populāro ChatGPT tērzēšanas robotu pēc tam, kad kādam lietotājam izdevās izmantot sistēmas nepilnību, lai iegūtu citu lietotāju tērzēšanas nosaukumu vēsturi. Uzņēmums šodien publicēja savus pirmos atklājumus par šo incidentu, kas izrādījās nopietnāks nekā sākotnēji norādīts .

ChatGPT kļūda, kas radās pirms dažām dienām, izrādījās nedaudz nopietnāka, nekā tika paziņots

Negadījumā šīs nedēļas sākumā lietotāji Reddit ievietoja savas ChatGPT sānjoslas ekrānuzņēmumus, kuros redzami citu lietotāju iepriekšējo sarunu nosaukumi. Tikai virsraksti. OpenAI, reaģējot uz šo nopietno problēmu, ir pieņēmis lēmumu slēgt savu tērzēšanas robotu — pakalpojuma pārtraukumu, kas ilga gandrīz 10 stundas, un ir laiks izpētīt šo problēmu. Šīs analīzes rezultāti atklāja diezgan nopietnu drošības problēmu: tērzēšanas vēstures kļūda varēja arī nopludināt personas datus aptuveni 1,2% ChatGPT Plus abonentu — 20 $ mēnesī abonements.

“Stundu laikā pirms ChatGPT slēgšanas daži lietotāji varēja redzēt vārdu un uzvārdu, e-pasta adresi, norēķinu adresi, pēdējos četrus ciparus un kredītkartes derīguma termiņu, citus aktīvos lietotājus. Pilni kredītkaršu numuri nekad nav izlaisti,” saka OpenAI komanda. Problēma ir novērsta, ievainojamība bija trešās puses atvērtā pirmkoda Redis klienta bibliotēkā redis-py.

Iespējams, tika atklāti ChatGPT Plus abonentu personas dati

Tomēr uzņēmums vēlējās samazināt šīs izpaušanas apjomu, skaidrojot kritērijus, kas jāievēro, lai efektīvi izpaustu šos personas datus: “Atveriet reģistrācijas apstiprinājuma e-pastu, kas nosūtīts pirmdien, 20. martā laikā no 1:00 līdz 10:00 (Klusā okeāna laika josla). Kļūdas dēļ daži no šiem šajā laika logā ģenerētajiem e-pasta ziņojumiem tika nosūtīti nepareizajiem lietotājiem. Šajos e-pasta ziņojumos bija kredītkartes numura pēdējie četri cipari, bet ne pilns numurs. Iespējams, neliels skaits apstiprinājuma e-pastu tika nosūtīts pirms 20. marta, taču mums nav apstiprinājuma par šādiem gadījumiem. Vēl viens iespējamais scenārijs: “Šajā pirmdienā, 20. martā, pakalpojumā ChatGPT noklikšķiniet uz “Mans konts”, pēc tam uz “Pārvaldīt manu abonementu”. Šajā laika logā uzvārds, vārds, norēķinu adrese, pēdējie četri cipari, un varētu būt redzams cita aktīva ChatGPT Plus lietotāja kredītkartes derīguma termiņš. Iespējams, ka tas varētu notikt pirms 20. marta, taču apstiprinājuma nevienam šādam gadījumam mums nav.

Uzņēmums ir veicis papildu pasākumus, lai novērstu šīs kļūdas atkārtošanos, tostarp pievienojot liekās pārbaudes, zvanot uz šādām bibliotēkām, “sistemātiski pārskatot mūsu žurnālus, lai pārliecinātos, ka visi ziņojumi ir pieejami tikai pareizajiem lietotājiem” un “uzlabojot žurnālus, lai identificētu, kad notiek šāds incidents, un varētu precīzi apstiprināt, kad tas pazudis.” Uzņēmums arī skaidro, ka ir sazinājies ar lietotājiem, kurus skar šī tēma.