OpenAI a été contraint de mettre hors ligne son bot ChatGPT très populaire pour une maintenance d’urgence mardi après qu’un utilisateur a pu exploiter un bogue dans le système pour rappeler les titres des historiques de discussion des autres utilisateurs. Vendredi, la société a annoncé ses premières conclusions sur l’incident.
Lors de l’incident de mardi, les utilisateurs ont publié des captures d’écran sur Reddit indiquant que leurs barres latérales ChatGPT présentaient des historiques de discussion antérieurs d’autres utilisateurs. Seul le titre de la conversation, et non le texte lui-même, était visible. OpenAI, en réponse, a mis le bot hors ligne pendant près de 10 heures pour enquêter. Les résultats de cette enquête ont révélé un problème de sécurité plus profond : le bogue de l’historique des discussions a peut-être également révélé les données personnelles de 1,2 % des abonnés ChatGPT Plus (un forfait d’accès amélioré de 20 $/mois).
« Dans les heures qui ont précédé la mise hors ligne de ChatGPT lundi, il était possible pour certains utilisateurs de voir le prénom et le nom, l’adresse e-mail, l’adresse de paiement, les quatre derniers chiffres (uniquement) d’un numéro de carte de crédit et la carte de crédit d’un autre utilisateur actif. date d’expiration. Les numéros de carte de crédit complets n’ont été exposés à aucun moment », a écrit vendredi l’équipe d’OpenAI. Le problème a depuis été corrigé pour la bibliothèque défectueuse qu’OpenAI a identifiée comme la bibliothèque open source du client Redis, redis-py.
La société a minimisé la probabilité qu’une telle violation se produise, arguant que l’un des critères suivants devrait être rempli pour exposer un utilisateur à un risque :
– Ouvrir un e-mail de confirmation d’abonnement envoyé le lundi 20 mars, entre 1 h et 10 h, heure du Pacifique. En raison du bogue, certains e-mails de confirmation d’abonnement générés pendant cette fenêtre ont été envoyés aux mauvais utilisateurs. Ces e-mails contenaient les quatre derniers chiffres du numéro de carte de crédit d’un autre utilisateur, mais les numéros de carte de crédit complets n’apparaissaient pas. Il est possible qu’un petit nombre d’e-mails de confirmation d’abonnement aient été mal adressés avant le 20 mars, bien que nous n’en ayons confirmé aucun cas.
– Dans ChatGPT, cliquez sur « Mon compte », puis « Gérer mon abonnement » entre 1 h et 10 h, heure du Pacifique, le lundi 20 mars. Pendant cette fenêtre, un autre actif Le prénom et le nom de l’utilisateur de ChatGPT Plus, l’adresse e-mail, l’adresse de paiement, les quatre derniers chiffres (uniquement) d’un numéro de carte de crédit et la date d’expiration de la carte de crédit peuvent avoir été visibles. Il est possible que cela se soit également produit avant le 20 mars, bien que nous n’en ayons confirmé aucun cas.
La société a pris des mesures supplémentaires pour éviter que cela ne se reproduise à l’avenir, notamment en ajoutant des vérifications redondantes aux appels de la bibliothèque, « examiné nos journaux par programme pour s’assurer que tous les messages ne sont disponibles que pour le bon utilisateur » et « amélioration de la journalisation pour identifier quand cela se produit et confirmez pleinement que cela s’est arrêté. » La société affirme qu’elle a également contacté les utilisateurs concernés pour les alerter du problème.
Cette nouvelle fait suite à un faux pas public coûteux commis par le rival de Google Bard AI en février lorsqu’il a assuré à tort à Twitter que le JWST était le premier télescope à imager une exoplanète, ainsi qu’aux révélations selon lesquelles CNET avait subrepticement utilisé l’IA générative pour rédiger des messages explicatifs financiers ( une semaine avant de licencier une partie importante de son service éditorial). Reste à savoir si OpenAI subira les mêmes répercussions basées sur le marché que ses concurrents.