News

OpenAI ammette che c’è stata una fuga di dati sensibili a causa di un bug

Martedì OpenAI è stato costretto a portare offline il suo popolarissimo bot ChatGPT per una manutenzione di emergenza. Sembra che un utente è stato in grado di sfruttare un bug nel sistema per richiamare i titoli dalle cronologie delle chat di altri utenti. Venerdì la società ha annunciato i risultati iniziali dell’incidente.

Gli utenti hanno pubblicato schermate su Reddit in cui venivano mostrate le loro barre laterali che contenevano precedenti cronologie di chat di altri utenti. Era visibile solo il titolo della conversazione, non il testo stesso. OpenAI, in risposta, ha portato il bot offline per quasi 10 ore per indagare. I risultati hanno rivelato un problema di sicurezza più profondo: il bug potrebbe anche aver potenzialmente rivelato i dati personali dell’1,2% degli abbonati a ChatGPT Plus (un pacchetto di accesso avanzato da 20 dollari al mese).

“Nelle ore precedenti, alcuni utenti potevano vedere il nome e il cognome di un altro utente attivo, l’indirizzo e-mail, l’indirizzo di pagamento, le ultime quattro cifre (solo) di un numero di carta di credito e la carta di credito data di scadenza. I numeri completi delle carte di credito non sono mai stati esposti

“, ha scritto venerdì il team di OpenAI. Da allora il problema è stato corretto.

Ecco cosa serve

La società ha minimizzato la probabilità che si verifichi una tale violazione, sostenendo che uno dei seguenti criteri dovrebbe essere soddisfatto per mettere a rischio un utente:

  • Aprire un’e-mail di conferma dell’iscrizione inviata lunedì 20 marzo. A causa del bug, alcune email di conferma dell’iscrizione generate durante quella finestra sono state inviate agli utenti sbagliati.
  • Durante l’una e le 10 del mattino di lunedì 20 marzo erano visibili nome e cognome, indirizzo e-mail e indirizzo di pagamento degli utenti di ChatGPT Plus , le ultime quattro cifre (solo) di un numero di carta di credito e la data di scadenza della carta di credito. È possibile che ciò sia avvenuto anche prima del 20 marzo, anche se non abbiamo confermato alcun caso al riguardo.

La società ha adottato ulteriori misure per impedire che ciò accada di nuovo in futuro, inclusa l’aggiunta di controlli ridondanti alle chiamate in biblioteca, “ha esaminato programmaticamente i registri per assicurarsi che tutti i messaggi siano disponibili solo per l’utente corretto“.

Condividi
Pubblicato da
Simone Paciocco