Сбой в ChatGPT раскрыл платежную информацию подписчиков

leaksdata
leaksdata

В компании OpenAI сообщили, что платежная информация части пользователей могла быть раскрыта в результате масштабного сбоя ChatGPT.

Согласно сообщению компании, ошибка в библиотеке с открытым исходным кодом под названием redis-py создала проблему с кэшированием. Это привело к тому, что некоторые пользователи могли увидеть личные данные других людей:

  • последние четыре цифры и дату истечения срока действия кредитной карты;
  • имя и фамилию пользователей;
  • электронную почту;
  • платежный адрес.

Кроме этого, пользователи также могли видеть фрагменты историй чужих чатов.

В компании утверждают, что утечка платежной информации могла затронуть около 1,2% пользователей ChatGPT Plus, которые запускали сервис 20 марта 2023 года с 4:00 до 13:00 по восточному времени (с 9:00 до 18:00 по центральноевропейскому времени).

Согласно OpenAI, существует два сценария, которые привели к демонстрации платежных данных. Если человек перешел на экран «Управления подпиской» в настройках аккаунта, он мог увидеть информацию другого подписчика ChatGPT Plus, активно использовавшего службу в то время.

Компания также сообщает, что некоторые электронные письма с подтверждением подписки, отправленные во время инцидента, были доставлены по ошибке. Это также привело к раскрытию последних четырех цифр номера кредитной карты.

В OpenAI предположили, что оба инцидента произошли до 20 марта. При этом в компании не уверены, что такое случалось в прошлом.

OpenAI связалась с пользователями, платежная информация которых могла быть раскрыта.

Утечку связывают с проблемой кэширования информации о пользователях в Redis. При определенных обстоятельствах отмененный запрос может привести к возврату поврежденных данных для другого запроса. Обычно в таких случаях приложение выдает ошибку.

Но если другой человек запрашивал информацию того же типа, например, хотел посмотреть страницу своего аккаунта, библиотека могла по ошибке возвращать им отмененный запрос другого пользователя.

Поэтому часть людей увидели в своем аккаунте информацию о других пользователях Им показали данные кэша, которые предназначались кому-то другому. Однако они не были отправлены из-за отмены запроса.

Вот почему проблема затронула только активных подписчиков. Данные тех, кто не пользовался сервисом в указанный промежуток времени, не кэшировались.

Ситуацию ухудшило то, что утром 20 марта OpenAI внесла изменение в сервер, которое случайно вызвало всплеск отмененных запросов Redis. Это увеличило вероятность возврата кэша по ошибке.

В компании заявили, что проблема уже исправлена. Также разработчики сообщили о внесении изменений в собственное программное обеспечение для предотвращения подобных инцидентов в будущем.

Ранее пользователи жаловались на недоступность сервиса ChatGPT.

Напомним, в марте OpenAI добавила поддержку сторонних плагинов для ChatGPT.

В феврале генеральный директор компании Сэм Альтман назвал чат-бот «ужасным продуктом».

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK