OpenAI diz que bug revelou dados sensíveis do usuário do ChatGPT

O bug do ChatGPT que surgiu há alguns dias era um pouco mais sério do que o anunciado. Os dados pessoais dos assinantes do ChatGPT Plus podem ter sido expostos.

A OpenAI foi forçada a desligar seu popular chatbot ChatGPT alguns dias atrás, depois que um usuário conseguiu explorar uma brecha no sistema para obter o histórico de títulos de bate-papo de outros usuários. A empresa divulgou hoje suas primeiras conclusões sobre este incidente, que acabou sendo mais grave do que inicialmente declarado .

Um bug do ChatGPT que ocorreu há alguns dias acabou sendo um pouco mais grave do que o anunciado

Em um incidente no início desta semana, os usuários postaram capturas de tela da barra lateral do ChatGPT no Reddit, mostrando os títulos das conversas anteriores de outros usuários. Apenas títulos. A OpenAI, em resposta a este grave problema, tomou a decisão de desligar o seu chatbot, uma interrupção do serviço que durou cerca de 10 horas, altura de analisar o assunto. Os resultados dessa análise revelaram um problema de segurança bastante sério: um bug do histórico de bate-papo também pode ter vazado os dados pessoais de aproximadamente 1,2% dos assinantes do ChatGPT Plus – uma assinatura de $ 20 por mês -.

“Nas horas anteriores ao desligamento do ChatGPT, alguns usuários podiam ver nome e sobrenome, endereço de e-mail, endereço de cobrança, últimos quatro dígitos e data de validade do cartão de crédito, outros usuários ativos. Os números completos dos cartões de crédito nunca foram divulgados”, diz a equipe da OpenAI. O problema foi corrigido, a vulnerabilidade estava em uma biblioteca cliente Redis de código aberto de terceiros, redis-py.

Dados pessoais de assinantes do ChatGPT Plus podem ter sido expostos

No entanto, a empresa quis minimizar o alcance dessa divulgação, explicando os critérios que devem ser atendidos para a divulgação efetiva desses dados pessoais: “Abra o e-mail de confirmação de registro enviado na segunda-feira, 20 de março, entre 1h e 10h (fuso horário do Pacífico). Devido a um bug, alguns desses e-mails gerados durante essa janela de tempo foram enviados para os usuários errados. Esses e-mails continham os últimos quatro dígitos do número do cartão de crédito, mas não o número completo. É possível que um pequeno número de e-mails de confirmação tenha sido enviado antes de 20 de março, mas não temos confirmação desses casos.” Outro cenário possível: “No ChatGPT, clique em ‘Minha conta’ e depois em ‘Gerenciar minha assinatura’ entre 1h e 10h PT desta segunda-feira, 20 de março. Durante esta janela de tempo, o sobrenome, nome, endereço de cobrança, últimos quatro dígitos, e a data de vencimento do cartão de crédito de outro usuário ativo do ChatGPT Plus pode estar visível. É possível que isso aconteça antes de 20 de março, mas não temos confirmação de nenhum caso.

A empresa tomou medidas adicionais para evitar que esse erro ocorra novamente, incluindo a adição de verificações redundantes ao chamar essas bibliotecas, “revisando sistematicamente nossos logs para garantir que todas as mensagens estejam disponíveis apenas para os usuários certos” e “melhorando os logs para identificar quando tal incidente ocorre e poder confirmar exatamente quando ele desapareceu”.