آسیب‌پذیری ChatGPT ممکن است اطلاعات پرداخت کاربران را در معرض دید قرار دهد

OpenAI فاش کرده است که یک آسیب پذیری ChatGPT ممکن است اطلاعات مربوط به پرداخت برخی از مشتریان ابزار هوش مصنوعی را در معرض دید قرار دهد و همچنین امکان مشاهده عناوین از تاریخچه چت برخی از کاربران فعال را فراهم کرده باشد.

در یک پست وبلاگ منتشر شده در 24 مارس 2023، این شرکت جزئیات نقض داده های ناشی از یک اشکال در یک کتابخانه منبع باز را ارائه کرد که آن را مجبور کرد در روز دوشنبه 20 مارس ChatGPT را به طور موقت آفلاین کند.

پس از اصلاح این آسیب پذیری، OpenAI توانست هم سرویس Chat GPT و هم بعداً ویژگی تاریخچه چت آن را به استثنای چند ساعت سابقه بازیابی کند.

این شرکت که توسط توییتر و مدیر عامل تسلا، ایلان ماسک تأسیس شده است، گفت که این اشکال «ممکن است باعث مشاهده ناخواسته اطلاعات مربوط به پرداخت 1.2 درصد از مشترکین ChatGPT Plus شده باشد که در یک بازه زمانی خاص 9 ساعته فعال بودند.»

در این پنجره قبل از آفلاین شدن ChatGPT در 20 مارس، برای برخی از کاربران این امکان وجود داشت که نام و نام خانوادگی، آدرس ایمیل، آدرس پرداخت، چهار رقم آخر شماره کارت اعتباری و تاریخ انقضای کارت اعتباری کاربر فعال دیگر را مشاهده کنند. با این حال، OpenAI تاکید کرد که “شماره های کارت اعتباری کامل در هیچ زمانی در معرض دید قرار نگرفتند.”

این شرکت افزود که تعداد کاربرانی که داده‌هایشان به این روش در معرض دید قرار گرفته است «بسیار کم» بوده و «ما مطمئن هستیم که هیچ خطری برای داده‌های کاربران وجود ندارد.»

به مشتریان آسیب دیده اطلاع داده شده است که اطلاعات پرداخت آنها ممکن است افشا شده باشد.

داده ها را می توان در طول یک پنجره 9 ساعته به دو طریق در دسترس قرار داد:

1. باز کردن یک ایمیل تأیید اشتراک که در 20 مارس بین ساعت 1:00 تا 10:00 صبح PST ارسال شده است. این به این دلیل است که برخی از این ایمیل‌های تولید شده در آن پنجره در نتیجه باگ برای کاربران اشتباه ارسال شده و اطلاعات پرداخت آنها را نمایش می‌دهد.
2. در ChatGPT، روی «حساب من»، سپس «مدیریت اشتراک من» در همان بازه زمانی کلیک کنید، که ممکن است اطلاعات پرداخت کاربر فعال ChatGPT را نشان دهد.

OpenAI اعتراف کرد که ممکن است این مشکلات قبل از این پنجره 9 ساعته رخ داده باشد، اما هیچ موردی از آن را تایید نکرده است.

این آسیب‌پذیری در کتابخانه منبع باز مشتری Redis، redis-py کشف شد. به دلیل ایجاد ناخواسته OpenAI تغییری در سرور خود ایجاد شد که باعث افزایش در لغو درخواست‌های Redis شد و شانس کمی برای بازگشت داده‌های بد هر اتصال ایجاد کرد.

توسعه دهندگان چت ربات هوش مصنوعی از Redis برای ذخیره اطلاعات کاربر در سرور خود استفاده می کنند تا مجبور نباشند برای هر درخواستی پایگاه داده را بررسی کنند.

OpenAI به دلیل نقض عذرخواهی کرد و اقداماتی را که برای بهبود سیستم های خود انجام داده است، تشریح کرد. اینها شامل افزودن بررسی‌های اضافی برای اطمینان از مطابقت داده‌های بازگردانده شده توسط حافظه پنهان Redis با کاربر درخواست‌کننده و بررسی برنامه‌نویسی گزارش‌های آن برای اطمینان از اینکه همه پیام‌ها فقط برای کاربر صحیح در دسترس هستند، می‌شود.

این شرکت اظهار داشت: «همه در OpenAI متعهد به محافظت از حریم خصوصی کاربران و ایمن نگه داشتن اطلاعات آنها هستند. این مسئولیتی است که ما به طور باورنکردنی جدی می گیریم. متأسفانه، این هفته ما از این تعهد و انتظارات کاربران خود کوتاهی کردیم. ما مجدداً از کاربران خود و از کل جامعه ChatGPT عذرخواهی می کنیم و با پشتکار برای بازسازی اعتماد تلاش خواهیم کرد.”

تعدادی از مسائل امنیتی در مورد ChatGPT به دنبال راه‌اندازی ربات گفتگوی بسیار عمومی در نوامبر 2022 مطرح شده است. این موارد شامل ترس از استفاده از آن برای ایجاد بدافزار و کمپین‌های فیشینگ پیچیده با بلوغ فناوری است.

علاوه بر این، کارشناسان حفظ حریم خصوصی داده ها از روش خراش داده OpenAI برای جمع آوری داده هایی که ChatGPT مبتنی بر آن است، انتقاد کرده اند.

اعتبار تصویر تحریریه: AlpakaVideo / Shutterstock