ChatGPT pode ter exposto as informações de pagamento dos usuários

ChatGPT pode ter exposto as informações de pagamento dos usuários. Além de dados de pagamentos, vulnerabilidade pode ter exposto outros dados.

Uma vulnerabilidade do ChatGPT pode ter exposto informações relacionadas ao pagamento de alguns clientes da ferramenta de IA, além de permitir a visualização de títulos do histórico de bate-papo de algum usuário ativo, revelou a OpenAI.

Em uma postagem de blog  publicada em 24 de março de 2023, a empresa forneceu detalhes de uma violação de dados causada por um bug em uma biblioteca de código aberto, que a obrigou a deixar o ChatGPT temporariamente offline na segunda-feira, 20 de março.

Depois de corrigir a vulnerabilidade, a OpenAI conseguiu restaurar o serviço Chat GPT e, posteriormente, seu recurso de histórico de bate-papo, com exceção de algumas horas de histórico.

A empresa, cofundada pelo CEO do Twitter e da Tesla, Elon Musk, disse que o bug “pode ter causado a visibilidade não intencional de informações relacionadas a pagamentos de 1,2% dos assinantes do ChatGPT Plus que estavam ativos durante uma janela específica de nove horas”.

Nesta janela antes do ChatGPT ser colocado offline em 20 de março, alguns usuários podiam ver o nome e sobrenome de outro usuário ativo, endereço de e-mail, endereço de pagamento, os últimos quatro dígitos de um número de cartão de crédito e data de validade do cartão de crédito. No entanto, a OpenAI enfatizou que “os números completos do cartão de crédito não foram expostos em nenhum momento”.

A empresa acrescentou que o número de usuários cujos dados foram expostos dessa forma foi “extremamente baixo” e “estamos confiantes de que não há risco contínuo para os dados dos usuários”.

Os clientes afetados foram notificados de que suas informações de pagamento podem ter sido expostas.

Os dados poderiam ter sido acessados ​​de duas maneiras durante uma janela específica de nove horas:

  1. Abrindo um e-mail de confirmação de inscrição enviado em 20 de março entre 1h e 10h PST. Isso ocorre porque alguns desses e-mails gerados durante essa janela foram enviados para os usuários errados como resultado do bug, exibindo suas informações de pagamento.
  2. No ChatGPT, clicar em ‘Minha conta’ e depois em ‘Gerenciar minha assinatura’ durante o mesmo período, o que pode ter exibido as informações de pagamento de outro usuário ativo do ChatGPT.

A OpenAI admitiu que é possível que esses problemas tenham ocorrido antes dessa janela de nove horas, mas não confirmou nenhuma instância disso.

A vulnerabilidade foi descoberta na biblioteca de código aberto do cliente Redis, redis-py. Foi causado pela OpenAI introduzir inadvertidamente uma alteração em seu servidor que causou um aumento nos cancelamentos de solicitações do Redis, criando uma pequena chance de cada conexão retornar dados incorretos.

Os desenvolvedores do AI chatbot usam o Redis para armazenar em cache as informações do usuário em seu servidor, para evitar a necessidade de verificar o banco de dados para cada solicitação.

A OpenAI pediu desculpas pela violação e descreveu as medidas que tomou para melhorar seus sistemas. Isso inclui adicionar verificações redundantes para garantir que os dados retornados pelo cache Redis correspondam ao usuário solicitante e examinar programaticamente seus logs para garantir que todas as mensagens estejam disponíveis apenas para o usuário correto.

A empresa declarou: “Todos na OpenAI estão comprometidos em proteger a privacidade de nossos usuários e manter seus dados seguros. É uma responsabilidade que levamos muito a sério. Infelizmente, esta semana ficamos aquém desse compromisso e das expectativas de nossos usuários. Pedimos desculpas novamente aos nossos usuários e a toda a comunidade ChatGPT e trabalharemos diligentemente para reconstruir a confiança.”

Vários problemas de segurança foram levantados sobre o ChatGPT após o lançamento altamente divulgado do chatbot em novembro de 2022. Isso inclui temores de que ele seja usado para criar malware e campanhas sofisticadas de phishing à medida que a tecnologia amadurece.

Além disso, especialistas em privacidade de dados criticaram o método de extração de dados da OpenAI para coletar os dados nos quais o ChatGPT se baseia.

Fonte: InfoSecurity Magazine 

Veja também:

Sobre mindsecblog 2483 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. ChatGPT: mundo nunca mais será como antes depois da ferramenta | Minuto da Segurança da Informação

Deixe sua opinião!