OpenAI表示,Redis客户软件的开源库漏洞导致了发生在周一的ChatGPT故障和数据泄露事件,当时用户可以看到其他用户的个人信息和聊天查询内容。
ChatGPT在侧边栏中显示了用户执行的以往查询的历史记录,用户点击其中一则查询,即可重现来自这款聊天机器人的响应。
周一上午,众多ChatGPT用户吐槽,看到其他人的聊天查询居然被列在了自己的聊天记录中。
呃呃呃。我正在试用OpenAI的ChatGPT时,突然我的提示导致大量的文本被返回,“超时中断”信息不停地出现。然而,贵公司的应用程序现在却向我显示其他人的聊天和内容。我并没有输入任何这些提示或查询。
据《PC杂志》最先报道,当时多名ChatGPT Plus用户还吐槽,在自己的订阅页面上看到了其他人的电子邮件地址。
@OpenAI:在ChatGPT Plus的支付页面上,它起初显示它把一则短信(SMS)发送到了一个我不认识的号码。随后当改而决定发送电子邮件时,它却显示了我从来没见过的电子邮件地址。表单字段也预先填有这个来历不明的电子邮件。
没过多久,OpenAI将ChatGPT下线以调查这个问题,但没有透露导致这起故障的细节。
ChatGPT故障期间的状态消息
开源库漏洞导致了数据泄露
今天,OpenAi发布了一份事后分析报告,解释了Redis客户软件开源库中的一个漏洞导致ChatGPT服务泄露了其他用户的聊天查询和1.2%的ChatGPT Plus用户的个人信息。
OpenAI在今天发布的事后分析报告中表示:“该漏洞是在Redis客户软件的开源库Redis -py中发现的。我们一发现了这个漏洞,就联系了Redis的维护者,已发布了解决这个问题的补丁。”
泄露的信息包括订阅者的姓名、电子邮件地址、支付地址、信用卡号后四位数字和到期日期。
事后分析报告解释道:“我们在深入调查后还发现,这同一个漏洞可能导致在9个小时时间窗口内处于活跃状态的1.2%的ChatGPT Plus用户的支付相关信息意外泄露。”
“在周一我们将ChatGPT下线之前的几个小时里,一些用户可以看到另一个活跃用户的姓名、电子邮件地址、支付地址、信用卡号的后四位数字以及信用卡到期日期。但完整的信用卡号码在任何时候都没有暴露。”
OpenAI表示,数据被泄露的人数可能非常少,因为需要采取具体的操作才会泄露数据,包括如下:
•打开3月20日星期一凌晨1点到10点(太平洋标准时)之间发送的订阅确认电子邮件。
•在3月20日星期一凌晨1点到10点(太平洋标准时)之间,在ChatGPT中点击“我的账户”,然后点击“管理我的订阅”。
该公司表示,他们正在联系所有支付信息暴露的受影响的ChatGPT用户。
周三晚上,OpenAI首席执行官Sam Altman在推特上为泄密事件道歉。
Altman发推文道:“由于开源库中的一个漏洞,我们的ChatGPT遇到了一个重大问题,现在已经发布了补丁,我们刚完成了验证工作。只有一小部分用户能够看到其他用户的对话历史记录的标题。”
“我们为此事深表歉意。”