OpenAI повідомляє про помилку, яка виявила конфіденційні дані користувача ChatGPT
Помилка ChatGPT, яка виникла кілька днів тому, була трохи серйознішою, ніж те, що було в рекламі. Персональні дані передплатників ChatGPT Plus могли бути розкриті.
OpenAI був змушений закрити свій популярний чат-бот ChatGPT кілька днів тому після того, як користувачеві вдалося використати лазівку в системі, щоб отримати історію заголовків чатів інших користувачів. Сьогодні компанія оприлюднила свої перші висновки щодо цього інциденту, який виявився серйознішим, ніж заявлялося спочатку .
Помилка ChatGPT, яка сталася кілька днів тому, виявилася трохи серйознішою, ніж було заявлено
Під час інциденту на початку цього тижня користувачі опублікували на Reddit скріншоти своєї бічної панелі ChatGPT, на яких відображаються заголовки попередніх розмов інших користувачів. Лише заголовки. OpenAI, у відповідь на цю серйозну проблему, прийняв рішення закрити свій чат-бот, перерва в роботі служби тривала майже 10 годин, час для вивчення цього питання. Результати цього аналізу виявили досить серйозну проблему з безпекою: помилка історії чату також могла призвести до витоку особистих даних приблизно 1,2% підписників ChatGPT Plus (підписка 20 доларів на місяць).
«За кілька годин до припинення роботи ChatGPT деякі користувачі могли бачити ім’я та прізвище, електронну адресу, платіжну адресу, останні чотири цифри та дату закінчення терміну дії кредитної картки, інші активні користувачі. Повні номери кредитних карток ніколи не оприлюднювались», — каже команда OpenAI. Проблему виправлено, уразливість була в сторонній клієнтській бібліотеці Redis з відкритим кодом, redis-py.
Персональні дані передплатників ChatGPT Plus могли бути розкриті
Однак компанія хотіла звести до мінімуму обсяг цього розголошення, пояснивши критерії, яким необхідно відповідати для ефективного розкриття цих персональних даних: «Відкрийте електронний лист із підтвердженням реєстрації, надісланий у понеділок, 20 березня, між 1:00 і 10:00 (тихоокеанський часовий пояс). Через помилку деякі з цих електронних листів, створених протягом цього періоду часу, було надіслано не тим користувачам. Ці електронні листи містили останні чотири цифри номера кредитної картки, але не повний номер. Можливо, невелика кількість електронних листів із підтвердженням була надіслана до 20 березня, але ми не маємо підтвердження таких випадків». Інший можливий сценарій: «У ChatGPT натисніть «Мій обліковий запис», а потім «Керувати моєю підпискою» між 1:00 і 10:00 за тихоокеанським часом цього понеділка, 20 березня. Протягом цього періоду часу прізвище, ім’я, платіжна адреса, останні чотири цифри, і дата закінчення терміну дії кредитної картки іншого активного користувача ChatGPT Plus може бути видимою. Можливо, це може статися до 20 березня, але ми не маємо підтвердження жодного такого випадку.
Компанія вжила додаткових заходів, щоб запобігти повторенню цієї помилки, включаючи додавання зайвих перевірок під час виклику таких бібліотек, «систематичний перегляд наших журналів, щоб переконатися, що всі повідомлення доступні лише потрібним користувачам» і «покращення журналів, щоб визначити, коли такий інцидент стався, і мати можливість точно підтвердити, коли він зник». Компанія також пояснює, що зв’язалася з користувачами, яких торкнулася ця тема.
Залишити відповідь