数日前の ChatGPT のバグは、発表されていたよりも少し深刻でした。 ChatGPT Plus 加入者の個人データが漏洩した可能性があります。
OpenAI人気の会話ロボット (チャットボット) の接続を解除せざるを得なくなったチャットGPT数日前、あるユーザーがシステムの欠陥を悪用して他のユーザーの会話タイトルの履歴を取得した後。同社は本日、この事件に関する最初の結論を発表し、最終的には当初の発表より深刻。
今週初めの事件では、ユーザーは他のユーザーとの以前の会話のタイトルを表示した ChatGPT サイドバーのスクリーンショットを Reddit に投稿しました。タイトルだけ。OpenAIは、この重大な問題に対応して、チャットボットの接続を解除する決定を下し、サービスの中断はこの問題を調査する時間としてほぼ 10 時間続きました。この分析の結果、次の問題が明らかになりました。安全非常に重要: 会話履歴のバグも漏洩した可能性があります個人データChatGPT Plus 加入者の約 1.2% (月額 20 ドルのサブスクリプション)。
「試合までの数時間で、ChatGPT の切断, 一部のユーザーは、姓、名、電子メール アドレス、請求先住所、下 4 桁、および他のアクティブ ユーザーのクレジット カードの有効期限を確認することができました。クレジット カード番号全体が公開されることはありませんでした」と OpenAI チームは説明します。この問題は修正されており、この欠陥は Redis クライアントのサードパーティのオープンソース ライブラリである redis-py に存在していました。
ChatGPT Plus加入者の個人データが流出した可能性がある
しかし、同社は、この個人データが効果的に公開されるために満たさなければならない基準を説明することで、この開示の範囲を最小限に抑えたいと考えていました。 PT.バグにより、この期間中に生成されたメールの一部が間違ったユーザーに送信されました。これらのメールには、クレジット カード番号の最後の 4 桁が含まれていましたが、完全な番号は含まれていませんでした。 3 月 20 日より前に少数の確認メールが送信された可能性がありますが、そのようなケースは確認されていません。 » 考えられる別のシナリオ: 「ChatGPT で、今週月曜日、3 月 20 日の午前 1 時から午前 10 時 (太平洋時間) の間に、[マイ アカウント] をクリックし、[サブスクリプションの管理] をクリックします。」この期間中に、別のアクティブな ChatGPT Plus ユーザーの名、姓、請求先住所、最後の 4 桁、およびクレジット カードの有効期限が表示されていた可能性があります。これは 3 月 20 日より前に発生した可能性がありますが、そのようなケースは確認されていません。 »
同社は、この種のライブラリを呼び出す際に冗長チェックを追加すること、「すべてのメッセージに適切なユーザーのみがアクセスできるようにするためにログを体系的にレビューすること」、そして「識別するためのログを改善することなど、このバグの再発を防ぐために追加の措置を講じました」そのような事件が発生したとき、そしてそれがいつなくなったかを正確に確認することができます。 » 同社は、この件に関して影響を受けたユーザーに連絡を取ったとも説明している。
