OpenAI zegt bug onthuld ChatGPT-gevoelige gebruikersgegevens

De ChatGPT-bug die een paar dagen geleden opdook, was iets ernstiger dan waarvoor werd geadverteerd. Persoonlijke gegevens van ChatGPT Plus-abonnees zijn mogelijk openbaar gemaakt.

OpenAI moest een paar dagen geleden zijn populaire ChatGPT-chatbot afsluiten nadat een gebruiker een maas in het systeem had weten te misbruiken om de chattitelgeschiedenis van andere gebruikers te achterhalen. Het bedrijf heeft vandaag zijn eerste bevindingen over dit incident vrijgegeven, dat uiteindelijk ernstiger bleek te zijn dan aanvankelijk werd vermeld .

Een ChatGPT-bug die een paar dagen geleden optrad, bleek iets ernstiger te zijn dan aangekondigd

Bij een incident eerder deze week plaatsten gebruikers screenshots van hun ChatGPT-zijbalk op Reddit met de titels van eerdere gesprekken van andere gebruikers. Alleen titels. OpenAI heeft als reactie op dit ernstige probleem de beslissing genomen om hun chatbot af te sluiten, een serviceonderbreking die bijna 10 uur duurde, tijd om de zaak te onderzoeken. De resultaten van deze analyse brachten een nogal ernstig beveiligingsprobleem aan het licht: een bug in de chatgeschiedenis had ook de persoonlijke gegevens kunnen lekken van ongeveer 1,2% van de ChatGPT Plus-abonnees – een abonnement van $ 20 per maand -.

“In de uren voordat ChatGPT werd afgesloten, konden sommige gebruikers voor- en achternaam, e-mailadres, factuuradres, laatste vier cijfers en vervaldatum van de creditcard zien, andere actieve gebruikers. Volledige creditcardnummers zijn nooit vrijgegeven”, zegt het OpenAI-team. Het probleem is opgelost, de kwetsbaarheid bevond zich in een open source Redis-clientbibliotheek van derden, redis-py.

Persoonlijke gegevens van ChatGPT Plus-abonnees zijn mogelijk openbaar gemaakt

Het bedrijf wilde de reikwijdte van deze openbaarmaking echter minimaliseren door de criteria uit te leggen waaraan moet worden voldaan voor effectieve openbaarmaking van deze persoonlijke gegevens: “Open de e-mail ter bevestiging van de registratie die op maandag 20 maart tussen 01:00 uur en 10:00 uur (Pacific Time Zone) is verzonden. Vanwege een bug zijn sommige van deze e-mails die tijdens deze periode zijn gegenereerd, naar de verkeerde gebruikers verzonden. Deze e-mails bevatten de laatste vier cijfers van het creditcardnummer, maar niet het volledige nummer. Het is mogelijk dat er vóór 20 maart een klein aantal bevestigingsmails is verzonden, maar we hebben geen bevestiging van dergelijke gevallen.” Een ander mogelijk scenario: “Klik in ChatGPT op ‘Mijn account’ en vervolgens op ‘Mijn abonnement beheren’ tussen 01:00 uur en 10:00 uur PT deze maandag 20 maart. Gedurende dit tijdvenster, de achternaam, voornaam, factuuradres, laatste vier cijfers, en de vervaldatum van de creditcard van een andere actieve ChatGPT Plus-gebruiker kan zichtbaar zijn. Het is mogelijk dat dit vóór 20 maart zou kunnen gebeuren, maar we hebben geen bevestiging van een dergelijk geval.

Het bedrijf heeft aanvullende maatregelen genomen om te voorkomen dat deze fout zich opnieuw voordoet, waaronder het toevoegen van overbodige controles bij het aanroepen van dergelijke bibliotheken, “het systematisch bekijken van onze logboeken om ervoor te zorgen dat alle berichten alleen beschikbaar zijn voor de juiste gebruikers” en “door het verbeteren van de logboeken om vast te stellen wanneer een dergelijk incident zich voordoet en om precies te kunnen bevestigen wanneer het is verdwenen.” Het bedrijf legt ook uit dat het contact heeft opgenomen met gebruikers die door het onderwerp zijn getroffen.