OpenAI は、月曜日に ChatGPT をオフラインにした理由に関する新しい詳細を発表しました。現在、一部のユーザーの支払い情報がインシデント中に公開された可能性があると述べています.
によると 会社からの投稿、redis-py と呼ばれるオープン ソース ライブラリのバグにより、一部のアクティブ ユーザーに別のユーザーのクレジット カードの末尾 4 桁と有効期限、姓名、メール アドレス、支払い先住所が表示される可能性があるキャッシュの問題が発生しました。 . ユーザーは、他のユーザーのチャット履歴の断片も見たことがあるかもしれません。
キャッシュの問題が原因で、ユーザーがお互いのデータを参照するようになったのはこれが初めてではありません。 他のユーザーのアカウントからの情報を含むページが表示されました. OpenAI がその AI の潜在的なセキュリティと安全性への影響を解明するために多くの焦点と研究を行っているにもかかわらず、非常によく知られたセキュリティ問題によって発見されたという事実には、いくつかの皮肉があります。
同社によると、支払い情報の漏洩は、3 月 20 日の午前 4 時から午後 1 時 (ET) の間にサービスを使用した ChatGPT Plus の約 1.2% に影響を与えた可能性があるという。
インシデント中にアプリを使用していた場合にのみ影響を受けました。
OpenAI によると、未承認のユーザーに支払いデータが表示される可能性があるシナリオは 2 つあります。 ユーザーが[マイ アカウント]>[サブスクリプションの管理]画面に移動した場合、その期間中に、その時点で積極的にサービスを使用していた別の ChatGPT Plus ユーザーの情報が表示された可能性があります。 同社はまた、インシデント中に送信されたサブスクリプション確認メールの一部が間違った人に送信され、ユーザーのクレジット カード番号の下 4 桁が含まれていたと述べています。
同社は、これらの両方が20日より前に発生した可能性があると述べていますが、実際に発生したことは確認されていません. OpenAI は、支払い情報が公開された可能性があるユーザーに連絡を取りました。
はどうかと言うと どうやって これはすべて起こったことであり、どうやらキャッシングに行き着いたようです。 会社は満員です 投稿での技術的な説明、しかしTL;DRは、Redisと呼ばれるソフトウェアを使用してユーザー情報をキャッシュすることです. 特定の状況下で、Redis リクエストがキャンセルされると、別のリクエストに対して破損したデータが返されることがありました (これは起こるべきではありませんでした)。 通常、アプリはそのデータを取得し、「これは私が要求したものではありません」と言って、エラーをスローします。
しかし、他の人が同じ種類のデータを求めていた場合 (たとえば、自分のアカウント ページを読み込もうとしていて、そのデータが他の人のアカウント情報であった場合)、アプリはすべて問題ないと判断し、それを表示しました。
そのため、人々は他のユーザーの支払い情報やチャット履歴を見ていました。 実際には他の誰かに送信されるはずだったキャッシュ データが提供されていましたが、リクエストがキャンセルされたため提供されませんでした。 それが、アクティブなユーザーにのみ影響を与えた理由でもあります。 アプリを使用していないユーザーのデータはキャッシュされません。
事態をさらに悪化させたのは、3 月 20 日の朝、OpenAI がサーバーに変更を加えたことで、キャンセルされた Redis リクエストが誤って急増し、バグが関係のないキャッシュを誰かに返す可能性が高くなったことです。
OpenAI は、Redis の非常に特定のバージョンで発生したバグが現在修正されており、プロジェクトに取り組んでいる人々は「素晴らしい協力者」であると述べています。 また、この種のことが再び起こらないように、独自のソフトウェアと慣行にいくつかの変更を加えていると述べています。これには、提供されるデータが実際にそれを要求したユーザーのものであることを確認するための「冗長チェック」を追加し、その可能性を減らすことが含まれます。 Redis クラスターは、高負荷時にエラーを吐き出します。
これらのチェックは最初からあるべきだったと私は主張しますが、OpenAI がそれらを追加したことは良いことです。 オープンソース ソフトウェアは、最新の Web に不可欠ですが、独自の課題もあります。 誰でも使用できるため、バグは一度に多数のサービスや企業に影響を与える可能性があります。 また、悪意のある攻撃者が特定の企業が使用しているソフトウェアを知っている場合、そのソフトウェアを標的にして悪意を持ってエクスプロイトを導入しようとする可能性があります。 これを難しくするチェックもありますが、Google のような企業が示しているように、そうならないように努力し、そうなった場合に備えることが最善です。