OpenAI säger att buggen avslöjade ChatGPT-känsliga användardata

ChatGPT-felet som kom upp för några dagar sedan var lite allvarligare än det som annonserades. Personuppgifter från ChatGPT Plus-prenumeranter kan ha blivit utsatta.

OpenAI tvingades stänga av sin populära ChatGPT-chatbot för några dagar sedan efter att en användare lyckats utnyttja ett kryphål i systemet för att få andra användares chatttitelhistorik. Företaget släppte idag sina första rön om denna incident, som slutade med att vara allvarligare än vad som ursprungligen angavs .

En ChatGPT-bugg som inträffade för några dagar sedan visade sig vara lite allvarligare än vad som meddelats

I en incident tidigare i veckan lade användare upp skärmdumpar av deras ChatGPT-sidofält på Reddit som visar titlarna på andra användares tidigare konversationer. Endast titlar. OpenAI, som svar på detta allvarliga problem, har tagit beslutet att stänga av deras chatbot, ett tjänstavbrott som varade i nästan 10 timmar, tid att undersöka saken. Resultaten av denna analys avslöjade ett ganska allvarligt säkerhetsproblem: en chatthistorikbugg kunde också ha läckt ut personuppgifter för cirka 1,2 % av ChatGPT Plus-prenumeranterna – en prenumeration på $20 per månad –.

”Under timmarna innan ChatGPT-avstängningen kunde vissa användare se för- och efternamn, e-postadress, faktureringsadress, de fyra sista siffrorna och kreditkortets utgångsdatum, andra aktiva användare. Fullständiga kreditkortsnummer har aldrig släppts”, säger OpenAI-teamet. Problemet har åtgärdats, sårbarheten fanns i ett Redis-klientbibliotek med öppen källkod från tredje part, redis-py.

Personuppgifter från ChatGPT Plus-prenumeranter kan ha blivit utsatta

Företaget ville dock minimera omfattningen av detta avslöjande genom att förklara kriterierna som måste uppfyllas för ett effektivt avslöjande av dessa personuppgifter: ”Öppna registreringsbekräftelsen som skickades måndagen den 20 mars mellan 01:00 och 10:00 (Pacific Time Zone). På grund av en bugg skickades några av dessa e-postmeddelanden som genererades under detta tidsfönster till fel användare. Dessa e-postmeddelanden innehöll de fyra sista siffrorna i kreditkortsnumret, men inte hela numret. Det är möjligt att ett litet antal bekräftelsemail skickades före den 20 mars, men vi har ingen bekräftelse på sådana fall.” Ett annat möjligt scenario: ”I ChatGPT, klicka på ”Mitt konto” och sedan ”Hantera min prenumeration” mellan 01:00 och 10:00 PT denna måndag den 20 mars. Under detta tidsfönster, efternamn, förnamn, faktureringsadress, de fyra sista siffrorna, och kreditkorts utgångsdatum för en annan aktiv ChatGPT Plus-användare kan vara synligt. Det är möjligt att detta kan hända före den 20 mars, men vi har ingen bekräftelse på något sådant fall.

Företaget har vidtagit ytterligare åtgärder för att förhindra att detta fel inträffar igen, inklusive att lägga till redundanta kontroller när de ringer till sådana bibliotek, ”systematiskt granska våra loggar för att säkerställa att alla meddelanden bara är tillgängliga för rätt användare” och ”genom att förbättra loggarna för att identifiera när en sådan incident inträffar och kunna bekräfta exakt när den försvann.” Företaget förklarar också att det har kontaktat användare som berörs av ämnet.