Kerentanan ChatGPT mungkin telah mengekspos informasi terkait pembayaran dari beberapa pelanggan alat AI, serta memungkinkan judul dari beberapa riwayat obrolan pengguna aktif untuk dilihat, OpenAI telah mengungkapkan.
.
.
Dalam posting blog yang diterbitkan pada 24 Maret 2023, perusahaan memberikan rincian pelanggaran data yang disebabkan oleh bug di perpustakaan open source, yang memaksanya untuk membuat ChatGPT offline sementara pada Senin 20 Maret.
.
.
Setelah menambal kerentanan, OpenAI dapat memulihkan layanan Chat GPT dan, kemudian, fitur riwayat obrolannya, dengan pengecualian beberapa jam riwayat.
.
.
Perusahaan, yang didirikan bersama oleh CEO Twitter dan Tesla Elon Musk, mengatakan bug itu "mungkin telah menyebabkan visibilitas informasi terkait pembayaran yang tidak disengaja sebesar 1,2% dari pelanggan ChatGPT Plus yang aktif selama jendela sembilan jam tertentu."
.
.
Di jendela ini sebelum ChatGPT offline pada 20 Maret, beberapa pengguna dapat melihat nama depan dan belakang pengguna aktif lainnya, alamat email, alamat pembayaran, empat digit terakhir nomor kartu kredit, dan tanggal kedaluwarsa kartu kredit. Namun, OpenAI menekankan bahwa "nomor kartu kredit lengkap tidak diekspos setiap saat."
.
.
Perusahaan menambahkan bahwa jumlah pengguna yang datanya terpapar dengan cara ini "sangat rendah" dan "kami yakin bahwa tidak ada risiko berkelanjutan terhadap data pengguna."
.
.
Pelanggan yang terkena dampak telah diberi tahu bahwa informasi pembayaran mereka mungkin telah terungkap.
.
.
Kerentanan ditemukan di pustaka sumber terbuka klien Redis, redis-py. Itu disebabkan oleh OpenAI secara tidak sengaja memperkenalkan perubahan ke servernya yang menyebabkan lonjakan pembatalan permintaan Redis, menciptakan kemungkinan kecil setiap koneksi mengembalikan data yang buruk.
.
.
Pengembang chatbot AI menggunakan Redis untuk menyimpan informasi pengguna di server mereka, untuk menghindari keharusan memeriksa database untuk setiap permintaan.
.
.
OpenAI meminta maaf atas pelanggaran tersebut dan menguraikan langkah-langkah yang telah diambil untuk meningkatkan sistemnya. Ini termasuk menambahkan pemeriksaan redundan untuk memastikan data yang dikembalikan oleh cache Redis cocok dengan pengguna yang meminta dan secara terprogram memeriksa lognya untuk memastikan bahwa semua pesan hanya tersedia untuk pengguna yang benar.
.
.
Perusahaan menyatakan: "Semua orang di OpenAI berkomitmen untuk melindungi privasi pengguna kami dan menjaga keamanan data mereka. Ini adalah tanggung jawab yang kami anggap sangat serius. Sayangnya, minggu ini kami gagal memenuhi komitmen itu, dan harapan pengguna kami. Sekali lagi kami meminta maaf kepada pengguna kami dan seluruh komunitas ChatGPT dan akan bekerja dengan rajin untuk membangun kembali kepercayaan."
.
.
Sejumlah masalah keamanan telah diangkat tentang ChatGPT setelah peluncuran chatbot yang dipublikasikan secara luas pada November 2022. Ini termasuk kekhawatiran itu akan digunakan untuk membuat malware dan kampanye phishing canggih saat teknologi matang.
.
.
Selain itu, pakar privasi data telah mengkritik metode pengikisan data OpenAI untuk mengumpulkan data yang menjadi dasar ChatGPT.
