OpenAI twierdzi, że ujawnił błąd wrażliwych danych użytkownika ChatGPT

Błąd ChatGPT, który pojawił się kilka dni temu, był trochę poważniejszy niż to, co było reklamowane. Dane osobowe subskrybentów ChatGPT Plus mogły zostać ujawnione.

Kilka dni temu OpenAI zostało zmuszone do zamknięcia swojego popularnego chatbota ChatGPT po tym, jak użytkownikowi udało się wykorzystać lukę w systemie, aby uzyskać historię tytułów czatów innych użytkowników. Firma opublikowała dziś pierwsze ustalenia dotyczące tego incydentu, który okazał się poważniejszy, niż pierwotnie sądzono .

Błąd ChatGPT, który pojawił się kilka dni temu, okazał się nieco poważniejszy niż zapowiadano

W incydencie na początku tego tygodnia użytkownicy opublikowali zrzuty ekranu swojego paska bocznego ChatGPT na Reddit, pokazując tytuły poprzednich rozmów innych użytkowników. Tylko tytuły. OpenAI, w odpowiedzi na ten poważny problem, podjął decyzję o zamknięciu swojego chatbota, przerwa w działaniu usługi, która trwała prawie 10 godzin, czas na zbadanie sprawy. Wyniki tej analizy ujawniły dość poważny problem z bezpieczeństwem: błąd historii czatu mógł również spowodować wyciek danych osobowych około 1,2% abonentów ChatGPT Plus – subskrypcja 20 USD miesięcznie –.

„Na kilka godzin przed zamknięciem ChatGPT niektórzy użytkownicy mogli zobaczyć imię i nazwisko, adres e-mail, adres rozliczeniowy, cztery ostatnie cyfry i datę ważności karty kredytowej, innych aktywnych użytkowników. Pełne numery kart kredytowych nigdy nie zostały ujawnione” – mówi zespół OpenAI. Problem został rozwiązany, luka była w bibliotece klienta Redis o otwartym kodzie źródłowym, redis-py.

Dane osobowe subskrybentów ChatGPT Plus mogły zostać ujawnione

Firma chciała jednak zminimalizować zakres tego ujawnienia, wyjaśniając kryteria, które należy spełnić, aby skutecznie ujawnić te dane osobowe: „Otwórz wiadomość e-mail z potwierdzeniem rejestracji wysłaną w poniedziałek 20 marca między 1:00 a 10:00 (strefa czasu pacyficznego). Z powodu błędu niektóre z tych e-maili wygenerowanych w tym przedziale czasowym zostały wysłane do niewłaściwych użytkowników. Te e-maile zawierały cztery ostatnie cyfry numeru karty kredytowej, ale nie pełny numer. Możliwe, że przed 20 marca wysłano niewielką liczbę e-maili potwierdzających, ale nie mamy potwierdzenia takich przypadków”. Inny możliwy scenariusz: „W ChatGPT kliknij „Moje konto”, a następnie „Zarządzaj moją subskrypcją” między 1:00 a 10:00 czasu pacyficznego w ten poniedziałek, 20 marca. W tym przedziale czasowym nazwisko, imię, adres rozliczeniowy, ostatnie cztery cyfry, i data ważności karty kredytowej innego aktywnego użytkownika ChatGPT Plus może być widoczna. Niewykluczone, że mogłoby to nastąpić przed 20 marca, ale nie mamy potwierdzenia takiego przypadku.

Firma podjęła dodatkowe kroki, aby zapobiec ponownemu wystąpieniu tego błędu, w tym dodając zbędne kontrole podczas wywoływania takich bibliotek, „systematycznie przeglądając nasze dzienniki, aby upewnić się, że wszystkie wiadomości są dostępne tylko dla odpowiednich użytkowników” oraz „ulepszając dzienniki, aby identyfikować, kiedy taki incydent wystąpił i być w stanie potwierdzić dokładnie, kiedy zniknął”. Firma wyjaśnia również, że skontaktowała się z użytkownikami, których dotyczy ten temat.