OpenAI a annoncé de nouveaux détails sur la raison pour laquelle il a mis ChatGPT hors ligne lundi, et il indique maintenant que les informations de paiement de certains utilisateurs peuvent avoir été exposées lors de l’incident.
Selon un poste de l’entreprise, un bogue dans une bibliothèque open source appelée redis-py a créé un problème de mise en cache qui peut avoir montré à certains utilisateurs actifs les quatre derniers chiffres et la date d’expiration de la carte de crédit d’un autre utilisateur, ainsi que leurs nom et prénom, adresse e-mail et adresse de paiement . Les utilisateurs peuvent également avoir vu des extraits de l’historique des discussions d’autres personnes.
Ce n’est pas la première fois que des problèmes de mise en cache amènent les utilisateurs à voir les données des autres – célèbre, le jour de Noël en 2015, les utilisateurs de Steam ont été servies des pages avec des informations provenant des comptes d’autres utilisateurs. Il y a une certaine ironie dans le fait qu’OpenAI met beaucoup d’accent et de recherche sur les ramifications potentielles de sécurité et de sûreté de son IA, mais qu’il a été pris par un problème de sécurité très connu.
La société affirme que la fuite d’informations de paiement peut avoir affecté environ 1,2% de ChatGPT Plus qui a utilisé le service entre 4h00 et 13h00 HE le 20 mars.
Vous n’avez été affecté que si vous utilisiez l’application pendant l’incident.
Selon OpenAI, deux scénarios auraient pu entraîner l’affichage des données de paiement à un utilisateur non autorisé. Si un utilisateur est allé à l’écran Mon compte > Gérer l’abonnement, pendant la période, il a peut-être vu des informations pour un autre utilisateur de ChatGPT Plus qui utilisait activement le service à ce moment-là. La société indique également que certains e-mails de confirmation d’abonnement envoyés lors de l’incident sont allés à la mauvaise personne et que ceux-ci incluent les quatre derniers chiffres du numéro de carte de crédit d’un utilisateur.
La société dit qu’il est possible que ces deux choses se soient produites avant le 20, mais qu’elle n’a pas de confirmation que cela se soit jamais produit. OpenAI a contacté les utilisateurs qui pourraient avoir vu leurs informations de paiement exposées.
Pour ce qui est de comment tout cela s’est passé, il s’agissait apparemment de la mise en cache. L’entreprise dispose d’un plein explication technique dans son post, mais le TL; DR est qu’il utilise un logiciel appelé Redis pour mettre en cache les informations utilisateur. Dans certaines circonstances, une demande Redis annulée entraînerait le renvoi de données corrompues pour une autre demande (ce qui n’aurait pas dû se produire). Habituellement, l’application obtiendrait ces données, en disant « ce n’est pas ce que j’ai demandé » et enverrait une erreur.
Mais si l’autre personne demandait le même type de données – si elle cherchait à charger la page de son compte et que les données étaient les informations de compte de quelqu’un d’autre, par exemple – l’application décidait que tout allait bien et le lui montrait.
C’est pourquoi les gens voyaient les informations de paiement et l’historique des discussions des autres utilisateurs ; ils recevaient des données de cache qui étaient en fait censées aller à quelqu’un d’autre mais qui ne l’ont pas été en raison d’une demande annulée. C’est aussi pourquoi cela n’affectait que les utilisateurs actifs. Les personnes qui n’utilisaient pas l’application ne verraient pas leurs données mises en cache.
Ce qui a rendu les choses vraiment mauvaises, c’est que, le matin du 20 mars, OpenAI a apporté une modification à son serveur qui a accidentellement provoqué un pic de demandes Redis annulées, augmentant le nombre de chances que le bogue renvoie un cache non lié à quelqu’un.
OpenAI dit que le bogue, qui est apparu dans une version très spécifique de Redis, a maintenant été corrigé et que les personnes qui travaillent sur le projet ont été des « collaborateurs fantastiques ». Il indique également qu’il apporte des modifications à ses propres logiciels et pratiques pour éviter que ce type de chose ne se reproduise, notamment en ajoutant des « vérifications redondantes » pour s’assurer que les données fournies appartiennent réellement à l’utilisateur qui les demande et en réduisant la probabilité que son Le cluster Redis crachera des erreurs sous des charges élevées.
Bien que je dirais que ces vérifications auraient dû être là en premier lieu, c’est une bonne chose qu’OpenAI les ait ajoutées maintenant. Les logiciels open source sont essentiels pour le Web moderne, mais ils s’accompagnent également de leurs propres défis. comme n’importe qui peut l’utiliser, les bogues peuvent affecter un grand nombre de services et d’entreprises à la fois. Et, si un acteur malveillant sait quel logiciel une entreprise spécifique utilise, il peut potentiellement cibler ce logiciel pour essayer d’introduire sciemment un exploit. Il y a des vérifications qui rendent cela plus difficile, mais comme l’ont montré des entreprises comme Google, il est préférable de travailler pour s’assurer que cela ne se produise pas et d’être préparé si cela se produit.