Из-за уязвимости произошла утечка конфиденциальных данных пользователей ИИ-бота OpenAI ChatGPT

[душман]

В понедельник компания OpenAI была вынуждена отключить на некоторое время ИИ-бот ChatGPT после того, как из-за ошибки в системе пользователи ненадолго получили доступ к истории бесед других пользователей. Впрочем, они могли видеть только заголовки, но не содержание бесед. В пятницу компания сообщила о первых выводах по данному происшествию.

Для выяснения всех обстоятельств случившегося компания отключила ChatGPT почти на 10 часов. В результате было выявлено, что проблемы с безопасностью у ИИ-бота гораздо глубже: баг истории чата мог также потенциально раскрыть личные данные 1,2 % пользователей платной подписки ChatGPT Plus.

«За несколько часов до того, как мы отключили в понедельник ChatGPT, некоторые пользователи могли видеть имя и фамилию другого активного пользователя, адрес электронной почты, платёжный адрес, последние четыре цифры номера кредитной карты и дату истечения её срока действия. Полные номера кредитных карт никогда не раскрывались», — сообщила команда OpenAI в пятницу.

«Откройте электронное письмо с подтверждением подписки, отправленное в понедельник, 20 марта, с 1:00 до 10:00 по тихоокеанскому времени. Из-за ошибки некоторые электронные письма с подтверждением подписки, сгенерированные в течение этого периода, были отправлены не тем пользователям. 

Эти электронные письма содержали последние четыре цифры номера кредитной карты другого пользователя, но полные номера кредитных карт не отображались. Возможно, небольшое количество писем с подтверждением подписки было отправлено по ошибке до 20 марта, хотя мы не подтвердили ни одного такого случая», — предупредила OpenAI пользователей.

Также сообщается, что специалисты устранили проблему, связанную с уязвимостью библиотеки, которую OpenAI идентифицировала как клиентскую библиотеку Redis с открытым исходным кодом — redis-py. Во избежание повторения подобных инцидентов, компания ужесточила контроль вызовов библиотек, а также «программно проверила журналы, чтобы убедиться, что все сообщения доступны только тем, кому они предназначены».