A OpenAI anunciou novos detalhes sobre o motivo pelo qual o ChatGPT ficou offline na segunda-feira e agora está dizendo que as informações de pagamento de alguns usuários podem ter sido expostas durante o incidente.
De acordo com uma postagem da empresa, um bug em uma biblioteca de código aberto chamada redis-py criou um problema de cache que pode ter mostrado a alguns usuários ativos os últimos quatro dígitos e a data de validade do cartão de crédito de outro usuário, junto com seu nome e sobrenome. , endereço de e-mail e endereço de pagamento. Os usuários também podem ter visto trechos dos históricos de bate-papo de outras pessoas.
Esta não é a primeira vez que problemas de cache fazem com que os usuários vejam os dados uns dos outros – notoriamente, no dia de Natal de 2015, os usuários do Steam receberam páginas com informações das contas de outros usuários. Há alguma ironia no fato de que a OpenAI coloca muito foco e pesquisa para descobrir as possíveis ramificações de segurança e proteção de sua IA, mas foi pega por um problema de segurança muito conhecido.
A empresa diz que o vazamento de informações de pagamento pode ter afetado cerca de 1,2% do ChatGPT Plus que usou o serviço entre 4h e 13h ET em 20 de março.
Você só foi afetado se estivesse usando o aplicativo durante o incidente.
Existem dois cenários que podem fazer com que os dados de pagamento sejam mostrados a um usuário não autorizado, de acordo com a OpenAI. Se um usuário foi para a tela Minha conta > Gerenciar assinatura, durante o período, ele pode ter visto informações de outro usuário do ChatGPT Plus que estava usando ativamente o serviço no momento. A empresa também diz que alguns e-mails de confirmação de assinatura enviados durante o incidente foram para a pessoa errada e que incluem os últimos quatro dígitos do número do cartão de crédito do usuário.
A empresa diz que é possível que essas duas coisas tenham acontecido antes do dia 20, mas não tem confirmação de que isso tenha acontecido. A OpenAI entrou em contato com usuários que podem ter suas informações de pagamento expostas.
Quanto a como tudo isso aconteceu, aparentemente tudo se resumia ao cache. A empresa tem uma explicação técnica completa em seu post, mas o TL;DR é que ela usa um software chamado Redis para armazenar em cache as informações do usuário. Sob certas circunstâncias, uma solicitação Redis cancelada resultaria no retorno de dados corrompidos para uma solicitação diferente (o que não deveria ter acontecido). Normalmente, o aplicativo obteria esses dados, diria “não foi isso que eu pedi” e geraria um erro.
Mas se a outra pessoa estivesse solicitando o mesmo tipo de dados – se ela estivesse procurando carregar a página de sua conta e os dados fossem as informações da conta de outra pessoa, por exemplo – o aplicativo decidiria que estava tudo bem e mostraria a ela.
É por isso que as pessoas estavam vendo as informações de pagamento e o histórico de bate-papo de outros usuários; eles estavam recebendo dados de cache que deveriam ir para outra pessoa, mas não foram devido a uma solicitação cancelada. É também por isso que afetou apenas os usuários que estavam ativos. Pessoas que não estivessem usando o aplicativo não teriam seus dados armazenados em cache.
O que tornou as coisas realmente ruins foi que, na manhã de 20 de março, o OpenAI fez uma alteração em seu servidor que acidentalmente causou um aumento nas solicitações canceladas do Redis, aumentando o número de chances de o bug retornar um cache não relacionado a alguém.
A OpenAI diz que o bug, que apareceu em uma versão muito específica do Redis, já foi corrigido e que as pessoas que trabalham no projeto têm sido “colaboradores fantásticos”. Ele também diz que está fazendo algumas mudanças em seu próprio software e práticas para evitar que esse tipo de coisa aconteça novamente, incluindo a adição de “verificações redundantes” para garantir que os dados que estão sendo servidos realmente pertençam ao usuário que os solicitou e reduzindo a probabilidade de que seu O cluster Redis gerará erros sob altas cargas.
Embora eu argumente que essas verificações deveriam estar lá em primeiro lugar, é bom que o OpenAI as tenha adicionado agora. O software de código aberto é essencial para a web moderna, mas também vem com seu próprio conjunto de desafios; como qualquer pessoa pode usá-lo, os bugs podem afetar um grande número de serviços e empresas de uma só vez. E, se um ator mal-intencionado souber qual software uma empresa específica usa, ele pode potencialmente direcionar esse software para tentar introduzir uma exploração conscientemente. Existem verificações que tornam isso mais difícil, mas, como empresas como o Google demonstraram, é melhor trabalhar para garantir que isso não aconteça e estar preparado para isso, caso aconteça.
0 comentários:
Postar um comentário