OpenAI объявил новые подробности о том, почему ChatGPT был отключен в понедельник, и теперь он говорит, что платежная информация некоторых пользователей могла быть раскрыта в результате инцидента.
Согласно деловая позиция, ошибка в библиотеке с открытым исходным кодом под названием redis-py создала проблему кэширования, которая могла показать некоторым активным пользователям последние четыре цифры и дату истечения срока действия кредитной карты другого пользователя, а также их имя и фамилию, адрес электронной почты и платежный адрес. Пользователи также могли видеть фрагменты истории чатов других людей.
Это не первый случай, когда проблемы с кэшированием заставляют пользователей видеть данные друг друга — как известно, на Рождество 2015 года пользователи Steam были обслужены страницы с информацией из аккаунтов других пользователей. Есть определенная ирония в том, что OpenAI уделяет большое внимание и исследованиям потенциальной безопасности и ответвлениям безопасности своего ИИ, но оказалась втянутой в очень известную проблему безопасности.
Компания заявляет, что утечка платежной информации могла затронуть примерно 1,2% пользователей ChatGPT Plus, которые пользовались сервисом с 4:00 до 13:00 по восточному времени 20 марта.
Вы были затронуты только в том случае, если вы использовали приложение во время инцидента.
Согласно OpenAI, два сценария могли привести к отображению платежных данных неавторизованному пользователю. Если пользователь перешел на экран «Моя учетная запись» > «Управление подпиской», в течение периода он мог видеть информацию для другого пользователя ChatGPT Plus, который активно использовал службу в то время. Компания также сообщает, что некоторые электронные письма с подтверждением подписки, отправленные во время инцидента, были отправлены не тому человеку и содержали последние четыре цифры номера кредитной карты пользователя.
Компания говорит, что, возможно, обе эти вещи произошли до 20-го числа, но у нее нет подтверждения, что это когда-либо происходило. OpenAI связалась с пользователями, платежная информация которых могла быть раскрыта.
Что касается как это все произошло, видимо это кеширование. Компания имеет полный техническое объяснение в его посте, но TL; DR заключается в том, что он использует программное обеспечение Redis для кэширования информации о пользователях. При определенных обстоятельствах отмененный запрос Redis может привести к возврату поврежденных данных для другого запроса (чего не должно было произойти). Обычно приложение получало эти данные, говорило «это не то, что я просил» и выдавало ошибку.
Но если другой человек запросил данные того же типа — если он хотел загрузить страницу своей учетной записи, а данные были, например, информацией чьей-то учетной записи — приложение решило, что все в порядке, и показало это ему.
Вот почему люди видели платежную информацию других пользователей и историю чатов; они получали кэшированные данные, которые на самом деле должны были быть отправлены кому-то другому, но не были отправлены из-за отмененного запроса. Именно поэтому это затронуло только активных пользователей. Данные людей, которые не использовали приложение, не кэшировались.
Что действительно ухудшило ситуацию, так это то, что утром 20 марта OpenAI внесла изменение в свой сервер, которое случайно вызвало всплеск отмененных запросов Redis, что увеличило вероятность того, что ошибка вернет кеш, не связанный ни с кем.
OpenAI говорит, что ошибка, появившаяся в очень специфической версии Redis, теперь исправлена, и люди, работающие над проектом, внесли «фантастический вклад». Он также сообщает, что вносит изменения в свое собственное программное обеспечение и практику, чтобы предотвратить повторение подобных вещей, включая добавление «избыточных проверок», чтобы гарантировать, что предоставленные данные действительно принадлежат пользователю, который их предоставил. его кластер Redis будет выдавать ошибки при высоких нагрузках.
Хотя я бы сказал, что эти проверки должны были быть там с самого начала, хорошо, что OpenAI добавил их сейчас. Программное обеспечение с открытым исходным кодом необходимо для современного Интернета, но оно также сопряжено со своими проблемами. поскольку его может использовать любой, ошибки могут затрагивать сразу большое количество сервисов и компаний. И если злоумышленник знает, какое программное обеспечение использует конкретная компания, он потенциально может нацелиться на это программное обеспечение, чтобы попытаться сознательно внедрить эксплойт. Существуют проверки, которые усложняют эту задачу, но, как показали компании вроде Google, лучше всего работать над тем, чтобы этого не произошло, и быть готовым, если это произойдет.
