Баг в ChatGPT привел к раскрытию платежной информации пользователей

В компании OpenAI сообщили, что платежная информация части пользователей могла быть раскрыта в результате масштабного сбоя ChatGPT.

Согласно сообщению компании, ошибка в библиотеке с открытым исходным кодом под названием redis-py создала проблему с кэшированием. Это привело к тому, что некоторые пользователи могли увидеть личные данные других людей:

  • последние четыре цифры и дату истечения срока действия кредитной карты;
  • имя и фамилию пользователей;
  • электронную почту;
  • платежный адрес.

Кроме этого, пользователи также могли видеть фрагменты историй чужих чатов.

В компании утверждают, что утечка платежной информации могла затронуть около 1,2% пользователей ChatGPT Plus, которые запускали сервис 20 марта 2023 года с 4:00 до 13:00 по восточному времени (с 9:00 до 18:00 по центральноевропейскому времени).

Согласно OpenAI, существует два сценария, которые привели к демонстрации платежных данных. Если человек перешел на экран «Управления подпиской» в настройках аккаунта, он мог увидеть информацию другого подписчика ChatGPT Plus, активно использовавшего службу в то время.

Компания также сообщает, что некоторые электронные письма с подтверждением подписки, отправленные во время инцидента, были доставлены по ошибке. Это также привело к раскрытию последних четырех цифр номера кредитной карты.

В OpenAI предположили, что оба инцидента произошли до 20 марта. При этом в компании не уверены, что такое случалось в прошлом.

OpenAI связалась с пользователями, платежная информация которых могла быть раскрыта.

Утечку связывают с проблемой кэширования информации о пользователях в Redis. При определенных обстоятельствах отмененный запрос может привести к возврату поврежденных данных для другого запроса. Обычно в таких случаях приложение выдает ошибку.

Но если другой человек запрашивал информацию того же типа, например, хотел посмотреть страницу своего аккаунта, библиотека могла по ошибке возвращать им отмененный запрос другого пользователя.

Поэтому часть людей увидели в своем аккаунте информацию о других пользователях Им показали данные кэша, которые предназначались кому-то другому. Однако они не были отправлены из-за отмены запроса.

Вот почему проблема затронула только активных подписчиков. Данные тех, кто не пользовался сервисом в указанный промежуток времени, не кэшировались.

Ситуацию ухудшило то, что утром 20 марта OpenAI внесла изменение в сервер, которое случайно вызвало всплеск отмененных запросов Redis. Это увеличило вероятность возврата кэша по ошибке.

В компании заявили, что проблема уже исправлена. Также разработчики сообщили о внесении изменений в собственное программное обеспечение для предотвращения подобных инцидентов в будущем.

Ранее пользователи жаловались на недоступность сервиса ChatGPT.

Источник: cryptocurrency.tech

No votes yet.
Please wait...

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *