Błąd historii ChatGPT mógł również ujawnić informacje o płatnościach, mówi OpenAI


OpenAI ogłosiło nowe szczegóły dotyczące tego, dlaczego wyłączyło ChatGPT w poniedziałeka teraz mówi, że podczas incydentu mogły zostać ujawnione informacje o płatnościach niektórych użytkowników.

Według wiadomość od firmy, błąd w bibliotece open source o nazwie redis-py spowodował problem z pamięcią podręczną, który mógł pokazywać niektórym aktywnym użytkownikom cztery ostatnie cyfry i datę ważności karty kredytowej innego użytkownika, wraz z jego imieniem i nazwiskiem, adresem e-mail i adresem płatności . Użytkownicy mogli również widzieć fragmenty historii czatów innych osób.

To nie pierwszy raz, kiedy problemy z pamięcią podręczną powodują, że użytkownicy widzą dane innych osób — słynnie w Boże Narodzenie w 2015 roku użytkownicy Steam zostały wyświetlone strony z informacjami z kont innych użytkowników. Jest pewna ironia w fakcie, że OpenAI kładzie duży nacisk i badania na ustalenie potencjalnych konsekwencji bezpieczeństwa i bezpieczeństwa swojej sztucznej inteligencji, ale został złapany przez bardzo dobrze znany problem z bezpieczeństwem.

Firma twierdzi, że wyciek informacji o płatności mógł mieć wpływ na około 1,2 procent ChatGPT Plus, którzy korzystali z usługi między 4:00 a 13:00 ET 20 marca.

Miałeś wpływ tylko wtedy, gdy korzystałeś z aplikacji podczas incydentu.

Według OpenAI istnieją dwa scenariusze, które mogły spowodować wyświetlenie danych płatności nieautoryzowanemu użytkownikowi. Jeśli użytkownik przeszedł do ekranu Moje konto > Zarządzaj subskrypcją, w określonym przedziale czasowym mógł zobaczyć informacje dotyczące innego użytkownika ChatGPT Plus, który w tym czasie aktywnie korzystał z usługi. Firma twierdzi również, że niektóre e-maile z potwierdzeniem subskrypcji wysłane podczas incydentu trafiły do ​​​​niewłaściwej osoby i że zawierają one cztery ostatnie cyfry numeru karty kredytowej użytkownika.

Reklama

Firma twierdzi, że możliwe jest, że obie te rzeczy wydarzyły się przed 20-tym, ale nie ma potwierdzenia, że ​​kiedykolwiek miało to miejsce. OpenAI skontaktował się z użytkownikami, których informacje dotyczące płatności mogły zostać ujawnione.

Jeśli chodzi o Jak to wszystko się wydarzyło, najwyraźniej sprowadzało się do buforowania. Firma posiada pełną wyjaśnienie techniczne w swoim poście, ale TL;DR polega na tym, że używa oprogramowania o nazwie Redis do buforowania informacji o użytkowniku. W pewnych okolicznościach anulowane żądanie Redis spowodowałoby zwrócenie uszkodzonych danych dla innego żądania (co nie powinno się zdarzyć). Zwykle aplikacja pobierała te dane, mówiła „to nie jest to, o co prosiłem” i zgłaszała błąd.

Ale jeśli druga osoba prosiła o ten sam typ danych — na przykład chciała załadować stronę swojego konta, a dane były na przykład informacjami o koncie innej osoby — aplikacja zdecydowała, że ​​wszystko jest w porządku i pokazała im to.

Dlatego ludzie widzieli informacje o płatnościach i historię czatów innych użytkowników; otrzymywali dane z pamięci podręcznej, które w rzeczywistości miały trafić do kogoś innego, ale nie trafiły z powodu anulowanej prośby. Dlatego też dotyczyło to tylko aktywnych użytkowników. Osoby, które nie korzystały z aplikacji, nie miałyby buforowanych danych.

To, co naprawdę pogorszyło sytuację, to fakt, że rankiem 20 marca OpenAI dokonał zmiany na swoim serwerze, która przypadkowo spowodowała wzrost liczby anulowanych żądań Redis, zwiększając liczbę szans na zwrócenie komuś niepowiązanej pamięci podręcznej przez błąd.

OpenAI twierdzi, że błąd, który pojawił się w jednej bardzo konkretnej wersji Redis, został już naprawiony, a ludzie pracujący nad projektem byli „fantastycznymi współpracownikami”. Mówi również, że wprowadza pewne zmiany we własnym oprogramowaniu i praktykach, aby zapobiec powtórzeniu się tego typu rzeczy, w tym dodaje „zbędne kontrole”, aby upewnić się, że udostępniane dane rzeczywiście należą do użytkownika, który o to prosi, i zmniejsza prawdopodobieństwo, że jego Klaster Redis wypluwa błędy przy dużych obciążeniach.

Chociaż twierdzę, że te kontrole powinny tam być w pierwszej kolejności, to dobrze, że OpenAI dodał je teraz. Oprogramowanie typu open source jest niezbędne dla nowoczesnej sieci, ale wiąże się również z własnym zestawem wyzwań; ponieważ każdy może go używać, błędy mogą mieć wpływ na wiele usług i firm jednocześnie. A jeśli złośliwy aktor wie, jakiego oprogramowania używa konkretna firma, może potencjalnie zaatakować to oprogramowanie, aby spróbować świadomie wprowadzić exploita. Tam są kontrole, które to utrudniająAle jak pokazały firmy takie jak Googlenajlepiej pracuj, żeby tak się nie stało i być na to przygotowanym, jeśli tak się stanie.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

Studio Borderlands Gearbox sprzedane firmie Take-Two przez Embracer za 460 mln dolarów

Konglomerat zajmujący się grami Embracer ogłosił w czwartek, że zgodził się sprzedać Gearbox Entertainment, studio stojące za Pogranicza gier wydawcy Grand...

Embracer sprzedaje dewelopera Borderlands Gearbox firmie Take-Two

Szwedzki konglomerat gamingowy Embracer Group zawarł umowę sprzedaży Gearbox Interactive Gwiazda rocka spółkę-matkę Take-Two za 460 milionów dolarów. W komunikat prasowy opublikowany...

Pozew antymonopolowy Venmo przeciwko Apple został oddalony, z małą gwiazdką

Jakiś antymonopolowe pozew przeciw Jabłko przyniesiony przez Venmo została oddalona, ​​a sędzia stwierdził, że nie było dowodów na zachowanie antykonkurencyjne. The PayPalnależąca do niej...
Advertisment