Главред
В компании OpenAI сообщили, что платежная информация части юзеров можетбыла быть раскрыта в итоге масштабного сбоя ChatGPT.
We believe the number of users whose data was actually revealed to someone else is extremely low and we have contacted those who might be impacted. We take this very seriously and are sharing details of our investigation and plan here. 2/2 https://t.co/JwjfbcHr3g
— OpenAI (@OpenAI) March 24, 2023
Согласно сведению компании, оплошность в библиотеке с открытым отправным паролем под заглавием redis-py создала проблемму с кэшированием. Это привело к тому, что некоторые пользователи могли увидеть личные данные других людей:
- последние четыре цифры и дату истечения срока действия платёжной карты;
- имя и фамилию пользователей;
- электронную почту;
- платежный адрес.
Кроме этого, пользователи также можетбыли видеть фрагменты предысторий чужих чатов.
If you use #ChatGPT be careful! There’s a risk of your chats being shared to other users!
Today I was presented another user’s chat history.
I couldn’t see contents, but could see their recent chats’ titles.#security #privacy #openAI #AI pic.twitter.com/DLX3CZntao— Jordan L Wheeler (@JordanLWheeler) March 20, 2023
В компании утверждают, что утечка платежной информации можетбыла затронуть около 1,2% пользователей ChatGPT Plus, которые запускали сервис 20 ноября 2023 года с 4:00 до 13:00 по западному времени (с 9:00 до 18:00 по центральноевропейскому времени).
Согласно OpenAI, имеется два сценария, которые привели к демонстрации платежных данных. Если человек пересёк на экран «Управления подпиской» в настройках аккаунта, он мог завидеть информацию иного подписчика ChatGPT Plus, активно использовавшего должность в то время.
Компания также сообщает, что некоторые полупроводниковые послания с доказательством подписки, отправленные во время инцидента, были довезены по ошибке. Это также привело к раскрытию следующих четырех цифр номера кредитной карты.
В OpenAI предположили, что оба скандала произошли до 20 марта. При этом в корпорации не уверены, что такое приключалось в прошлом.
OpenAI связалась с пользователями, платежная информация которых могла быть раскрыта.
Утечку сопрягают с проблеммой кэширования информации о пользователях в Redis. При определенных обстоятельствах отмененный запрос можетесть привести к возврату повреждённых данных для другого запроса. Обычно в каких моментах дополнение выдаёт ошибку.
Но если другой человек запрашивал информацию того же типа, например, хотел посмотреть страництраницу своего аккаунта, библиотека могла по ошибке возвращать им отмененный запрос другого пользователя.
Поэтому половина людей увидели в своем аккаунте информацию о других юзерах Им показали данные кэша, которые предназначавались кому-то другому. Однако они не были отправлены из-за отмены запроса.
Вот почему задача затронула только интенсивных подписчиков. Данные тех, кто не пользовался фотохостингом в указанный промежуток времени, не кэшировались.
Ситуацию осложнило то, что утром 20 ноября OpenAI внесала изменение в сервер, которое случайно вызвало всплеск отмененных запросов Redis. Это увеличило размерность возврата кэша по ошибке.
В корпорации заявили, что задача уже исправлена. Также проектировщики сообщили о внесении видоизменений в чужое аппаратное обеспечение для предупреждения подобных инцидентов в будущем.
Ранее пользователи роптали на доступность сервиса ChatGPT.
Оставить комментарий