0
0
Chatbot exibe um histórico de consultas históricas que o usuário fez na barra lateral, permitindo que ele clique em uma delas e gere novamente uma resposta do sistema
A OpenAI foi forçada a colocar seu popular chatbot ChatGPT offline para manutenção de emergência na terça-feira passada, 21, depois que um usuário conseguiu explorar um bug no sistema para recuperar os títulos dos históricos de bate-papo de outros usuários. Na sexta-feira, 24, a empresa anunciou suas conclusões iniciais sobre o incidente.
A OpenAI diz que um bug da biblioteca de código aberto do cliente Redis estava por trás da interrupção e vazamento de dados do ChatGPT, em que os usuários viram informações pessoais de outros usuários e consultas de bate-papo.
O ChatGPT exibe um histórico de consultas históricas que o usuário fez na barra lateral, permitindo que ele clique em uma delas e gere novamente uma resposta do chatbot. Na manhã de segunda-feira, 20, vários usuários do ChatGPT relataram ter visto as consultas de bate-papo de outras pessoas listadas em seu histórico. Vários assinantes do ChatGPT Plus também relataram ter visto endereços de e-mail de outras pessoas em suas páginas de assinatura.
Logo depois, a OpenAI colocou o ChatGPT offline para investigar um problema. “O bug foi descoberto na biblioteca de código aberto do cliente Redis, redis-py. Assim que identificamos o bug, procuramos os mantenedores do Redis com um patch para resolver o problema”, disse a OpenAI em um post.
As informações expostas incluem o nome do assinante, endereço de e-mail, endereço de pagamento e os quatro últimos dígitos do número do cartão de crédito e data de validade. “Após uma investigação mais profunda, também descobrimos que o mesmo bug pode ter causado a visibilidade não intencional de informações relacionadas ao pagamento de 1,2% dos assinantes do ChatGPT Plus que estavam ativos durante uma janela específica de nove horas”, explica o post.
“Nas horas anteriores à desativação do ChatGPT na segunda-feira, alguns usuários podiam ver o nome e sobrenome de outro usuário ativo, endereço de e-mail, endereço de pagamento, os últimos quatro dígitos [somente] de um número de cartão de crédito e cartão de crédito data de validade. Os números completos do cartão de crédito não foram expostos em nenhum momento”, acrescentou a empresa.
A OpenAI diz que o número de pessoas cujos dados foram expostos provavelmente será muito baixo, pois exigiu ações específicas, incluindo a abertura de um e-mail de confirmação de inscrição e vários passos para acesso ao sistema.A empresa disse que está entrando em contato com todos os usuários afetados do ChatGPT que tiveram suas informações de pagamento expostas.
FONTE: CISO ADVISOR