W poniedziałek OpenAI zostało zmuszone do wyłączenia na chwilę bota ChatGPT AI po tym, jak błąd w systemie pozwolił użytkownikom na krótki dostęp do historii rozmów innych użytkowników. Jednak mogli zobaczyć tylko nagłówki, a nie treść rozmów. W piątek firma poinformowała o pierwszych ustaleniach w sprawie incydentu.
Aby wyjaśnić wszystkie okoliczności incydentu, firma wyłączyła ChatGPT na prawie 10 godzin. W rezultacie problemy z bezpieczeństwem bota AI są znacznie głębsze: błąd historii czatu może również potencjalnie ujawnić dane osobowe 1,2% płatnych subskrybentów ChatGPT Plus.
„Na kilka godzin przed wyłączeniem ChatGPT w poniedziałek niektórzy użytkownicy mogli zobaczyć imię i nazwisko innego aktywnego użytkownika, adres e-mail, adres rozliczeniowy, cztery ostatnie cyfry numeru karty kredytowej i datę jej ważności. Pełne numery kart kredytowych nigdy nie zostały ujawnione” – powiedział w piątek zespół OpenAI.
„Otwórz wiadomość e-mail z potwierdzeniem subskrypcji wysłaną w poniedziałek 20 marca od 1:00 do 10:00 czasu pacyficznego. Z powodu błędu niektóre e-maile z potwierdzeniem subskrypcji wygenerowane w tym okresie zostały wysłane do niewłaściwych użytkowników. Te e-maile zawierały cztery ostatnie cyfry numeru karty kredytowej innego użytkownika, ale pełne numery kart kredytowych nie były wyświetlane. Możliwe, że niewielka liczba wiadomości e-mail z potwierdzeniem subskrypcji została wysłana przez pomyłkę przed 20 marca, chociaż nie potwierdziliśmy żadnych takich przypadków” – ostrzegł użytkowników OpenAI.
Poinformowano również, że eksperci naprawili problem związany z luką w zabezpieczeniach biblioteki, którą OpenAI zidentyfikował jako bibliotekę klienta Redis o otwartym kodzie źródłowym – redis-py. Aby zapobiec powtórzeniu się podobnych incydentów, firma zaostrzyła kontrolę połączeń w bibliotece, a także „programowo sprawdziła dzienniki, aby upewnić się, że wszystkie wiadomości są dostępne tylko dla tych, dla których są przeznaczone”.
