В компании OpenAI сообщили, что платежная информация части пользователей могла быть раскрыта в результате масштабного сбоя ChatGPT.

We believe the number of users whose data was actually revealed to someone else is extremely low and we have contacted those who might be impacted. We take this very seriously and are sharing details of our investigation and plan here. 2/2 https://t.co/JwjfbcHr3g

— OpenAI (@OpenAI) March 24, 2023

Согласно сообщению компании, ошибка в библиотеке с открытым исходным кодом под названием redis-py создала проблему с кэшированием. Это привело к тому, что некоторые пользователи могли увидеть личные данные других людей:

• последние четыре цифры и дату истечения срока действия кредитной карты;
• имя и фамилию пользователей;
• электронную почту;
• платежный адрес.

Кроме этого, пользователи также могли видеть фрагменты историй чужих чатов.

If you use #ChatGPT be careful! There's a risk of your chats being shared to other users!
Today I was presented another user's chat history.
I couldn't see contents, but could see their recent chats' titles.#security #privacy #openAI #AI pic.twitter.com/DLX3CZntao

— Jordan L Wheeler (@JordanLWheeler) March 20, 2023

В компании утверждают, что утечка платежной информации могла затронуть около 1,2% пользователей ChatGPT Plus, которые запускали сервис 20 марта 2023 года с 4:00 до 13:00 по восточному времени (с 9:00 до 18:00 по центральноевропейскому времени).

Согласно OpenAI, существует два сценария, которые привели к демонстрации платежных данных. Если человек перешел на экран «Управления подпиской» в настройках аккаунта, он мог увидеть информацию другого подписчика ChatGPT Plus, активно использовавшего службу в то время.

Компания также сообщает, что некоторые электронные письма с подтверждением подписки, отправленные во время инцидента, были доставлены по ошибке. Это также привело к раскрытию последних четырех цифр номера кредитной карты.

В OpenAI предположили, что оба инцидента произошли до 20 марта. При этом в компании не уверены, что такое случалось в прошлом.

OpenAI связалась с пользователями, платежная информация которых могла быть раскрыта.

Утечку связывают с проблемой кэширования информации о пользователях в Redis. При определенных обстоятельствах отмененный запрос может привести к возврату поврежденных данных для другого запроса. Обычно в таких случаях приложение выдает ошибку.

Но если другой человек запрашивал информацию того же типа, например, хотел посмотреть страницу своего аккаунта, библиотека могла по ошибке возвращать им отмененный запрос другого пользователя.

Поэтому часть людей увидели в своем аккаунте информацию о других пользователях Им показали данные кэша, которые предназначались кому-то другому. Однако они не были отправлены из-за отмены запроса.

Вот почему проблема затронула только активных подписчиков. Данные тех, кто не пользовался сервисом в указанный промежуток времени, не кэшировались.

Ситуацию ухудшило то, что утром 20 марта OpenAI внесла изменение в сервер, которое случайно вызвало всплеск отмененных запросов Redis. Это увеличило вероятность возврата кэша по ошибке.

В компании заявили, что проблема уже исправлена. Также разработчики сообщили о внесении изменений в собственное программное обеспечение для предотвращения подобных инцидентов в будущем.

Ранее пользователи жаловались на недоступность сервиса ChatGPT.

Напомним, в марте OpenAI добавила поддержку сторонних плагинов для ChatGPT.

В феврале генеральный директор компании Сэм Альтман назвал чат-бот «ужасным продуктом».