OpenAI已确认是周一的故障造成的ChatGPT此外,还公开了付费用户的付款细节泄漏随机用户的对话历史记录。
周一,试图订阅付费ChatGPT Plus服务的用户报道看到来自随机用户的电子邮件地址弹出在支付形式。但事实证明ChatGPT暴露了更多付费用户的信息。
在最初确认对话历史泄露后,OpenAI发布了更深入的内容博客(在新窗口打开)今天回顾了周一的宕机,这次宕机涉及一个软件漏洞,导致ChatGPT泄露了其内部数据库的信息。
该公司表示:“经过深入调查,我们还发现,同样的漏洞可能导致在特定9小时窗口内活跃的1.2% ChatGPT Plus用户的支付相关信息意外可见。”
OpenAI补充说:“在我们周一将ChatGPT下线之前的几个小时里,一些用户可以看到另一个活跃用户的姓和名、电子邮件地址、支付地址、信用卡号的后四位数字以及信用卡到期日期。”“完整的信用卡号码在任何时候都没有暴露。”
推特(在新窗口打开)
然而,该公司表示,一个陌生人从随机用户那里看到所有这些支付信息的几率“非常低”。这是因为暴露的付款细节部分是通过向ChatGPT Plus新用户发送的确认邮件到达的,该邮件是在太平洋标准时间周一上午1点至10点之间发送的。
OpenAI表示:“由于这个漏洞,在此期间生成的一些订阅确认电子邮件被发送给了错误的用户。”“这些电子邮件包含了另一个用户信用卡号的后四位数字,但没有显示完整的信用卡号。在3月20日之前,有一小部分订阅确认邮件可能被错误地发送了,尽管我们尚未证实任何此类情况。”
如果用户在凌晨1点到10点之间点击ChatGPT网站上的“我的账户”功能,然后“管理我的订阅”,就可以获得其他暴露的付款细节。该公司表示:“在这个窗口期间,可能会看到另一个活跃ChatGPT Plus用户的姓和名、电子邮件地址、支付地址、信用卡号的最后四位数字以及信用卡到期日期。”
作为回应,OpenAI正在就潜在的数据泄露问题与受影响的用户联系。该公司写道:“我们再次向用户和整个ChatGPT社区道歉,并将努力重建信任。”
OpenAI将此次泄漏归咎于一个开源库中运行Redis数据库的漏洞。该公司一直依赖Redis库在其服务器上缓存用户信息。该库被设计成将请求和响应视为“两个队列”。但是,如果请求在完全处理之前被取消,就会出现问题。
OpenAI表示:“如果一个请求在推送到传入队列后被取消,但在响应从传出队列弹出之前,我们就会发现我们的错误:连接因此被损坏,下一个为不相关的请求退出队列的响应可以接收到连接中留下的数据。”
周一凌晨1点,OpenAI表示,它引入了一个服务器更改,导致Redis请求取消的激增,从而导致数据损坏。“这使得每个连接返回坏数据的概率很小,”它说。
该公司已经修补了这个漏洞,并增加了安全措施,以确保对Redis缓存的请求与请求用户匹配。OpenAI表示:“我们相信用户数据不存在持续风险。”此外,聊天记录边栏似乎在ChatGPT上恢复了。