OpenAI сообщает, что ошибка выявила конфиденциальные пользовательские данные ChatGPT
Ошибка ChatGPT, возникшая несколько дней назад, была немного серьезнее, чем было объявлено. Личные данные подписчиков ChatGPT Plus могли быть раскрыты.
OpenAI был вынужден закрыть своего популярного чат-бота ChatGPT несколько дней назад после того, как пользователю удалось воспользоваться лазейкой в системе, чтобы получить историю названий чатов других пользователей. Сегодня компания сообщила о своих первых выводах об этом инциденте, который в конечном итоге оказался более серьезным, чем было заявлено изначально.
Ошибка ChatGPT, возникшая несколько дней назад, оказалась немного серьезнее, чем было объявлено
В инциденте ранее на этой неделе пользователи разместили на Reddit скриншоты своей боковой панели ChatGPT, показывающие заголовки предыдущих разговоров других пользователей. Только титулы. OpenAI, в ответ на эту серьезную проблему, принял решение отключить своего чат-бота, прерывание службы, которое длилось почти 10 часов, время для изучения этого вопроса. Результаты этого анализа выявили довольно серьезную проблему безопасности: ошибка истории чата могла также привести к утечке личных данных примерно 1,2% подписчиков ChatGPT Plus — подписка на 20 долларов в месяц —.
«За несколько часов до отключения ChatGPT некоторые пользователи могли видеть имя и фамилию, адрес электронной почты, платежный адрес, последние четыре цифры и срок действия кредитной карты, другие активные пользователи. Полные номера кредитных карт никогда не раскрывались», — говорит команда OpenAI. Проблема была исправлена, уязвимость заключалась в сторонней библиотеке с открытым исходным кодом клиента Redis, redis-py.
Личные данные подписчиков ChatGPT Plus могли быть раскрыты
Тем не менее, компания хотела свести к минимуму объем этого раскрытия, объяснив критерии, которые должны быть соблюдены для эффективного раскрытия этих личных данных: «Откройте электронное письмо с подтверждением регистрации, отправленное в понедельник, 20 марта, между 1:00 и 10:00 (Тихоокеанский часовой пояс). Из-за ошибки некоторые из этих писем, сгенерированных в течение этого временного окна, были отправлены не тем пользователям. Эти электронные письма содержали последние четыре цифры номера кредитной карты, но не полный номер. Возможно, небольшое количество писем с подтверждением было отправлено до 20 марта, однако у нас нет подтверждений таких случаев». Другой возможный сценарий: «В ChatGPT нажмите «Моя учетная запись», затем «Управление моей подпиской» между 1:00 и 10:00 по тихоокеанскому времени в этот понедельник, 20 марта. В течение этого временного окна могли быть видны фамилия, имя, платежный адрес, последние четыре цифры и дата истечения срока действия кредитной карты другого активного пользователя ChatGPT Plus. Не исключено, что это могло произойти до 20 марта, однако у нас нет подтверждения ни одного такого случая.
Компания приняла дополнительные меры, чтобы предотвратить повторение этой ошибки, включая добавление избыточных проверок при вызове таких библиотек», «систематическое изучение наших журналов, чтобы убедиться, что все сообщения доступны только нужным пользователям» и «путем улучшения журналов для выявления когда такой инцидент происходит, и иметь возможность точно подтвердить, когда он исчез». Компания также объясняет, что связалась с пользователями, затронутыми этой темой.
Добавить комментарий