Ошибка ChatGPT, появившаяся несколько дней назад, была немного серьезнее, чем рекламировалось. Личные данные подписчиков ChatGPT Plus могли быть раскрыты.
OpenAI был вынужден закрыть своего популярного чат-бота ChatGPT несколько дней назад после того, как пользователю удалось использовать лазейку в системе, чтобы получить историю заголовков чатов других пользователей. Сегодня компания опубликовала свои первые выводы об этом инциденте, который оказался более серьезным, чем предполагалось изначально .
Ошибка ChatGPT, возникшая несколько дней назад, оказалась чуть серьезнее, чем было объявлено
Ранее на этой неделе пользователи опубликовали скриншоты своей боковой панели ChatGPT на Reddit, показывая заголовки предыдущих разговоров других пользователей. Только титулы. OpenAI, в ответ на эту серьезную проблему, принял решение закрыть своего чат-бота, перерыв в обслуживании, который длился почти 10 часов, пора разобраться в этом вопросе. Результаты этого анализа выявили довольно серьезную проблему безопасности: ошибка истории чата также могла привести к утечке личных данных примерно 1,2% подписчиков ChatGPT Plus — подписка на 20 долларов в месяц.
«За несколько часов до отключения ChatGPT некоторые пользователи могли видеть имя и фамилию, адрес электронной почты, платежный адрес, последние четыре цифры и срок действия кредитной карты, другие активные пользователи. Полные номера кредитных карт никогда не разглашались», — говорит команда OpenAI. Проблема устранена, уязвимость была в сторонней клиентской библиотеке Redis с открытым исходным кодом, redis-py.
Личные данные подписчиков ChatGPT Plus могли быть раскрыты
Однако компания хотела свести к минимуму объем этого раскрытия, объяснив критерии, которые должны быть соблюдены для эффективного раскрытия этих личных данных: «Откройте электронное письмо с подтверждением регистрации, отправленное в понедельник, 20 марта, между 1:00 и 10:00 (тихоокеанский часовой пояс). Из-за ошибки некоторые из этих писем, сгенерированных в течение этого временного окна, были отправлены не тем пользователям. Эти электронные письма содержали последние четыре цифры номера кредитной карты, но не полный номер. Возможно, до 20 марта было отправлено небольшое количество писем с подтверждением, но у нас нет подтверждений таких случаев». Другой возможный сценарий: «В ChatGPT нажмите «Моя учетная запись», затем «Управление моей подпиской» между 1:00 и 10:00 по тихоокеанскому времени в этот понедельник, 20 марта. В течение этого временного окна фамилия, имя, платежный адрес, последние четыре цифры, и срок действия кредитной карты другого активного пользователя ChatGPT Plus может быть виден. Не исключено, что это могло произойти до 20 марта, но подтверждения ни одного такого случая у нас нет.
Компания предприняла дополнительные шаги, чтобы предотвратить повторение этой ошибки, в том числе добавила избыточные проверки при вызове таких библиотек, «систематически просматривая наши журналы, чтобы убедиться, что все сообщения доступны только нужным пользователям», и «улучшив журналы, чтобы определить, когда произошел такой инцидент, и иметь возможность точно подтвердить, когда он исчез». Компания также объясняет, что связалась с пользователями, затронутыми этой темой.