OpenAI indique qu’un bogue de la bibliothèque open source du client Redis était à l’origine de la panne de ChatGPT et de la fuite de données de lundi, où les utilisateurs ont vu les informations personnelles et les requêtes de chat d’autres utilisateurs.
ChatGPT affiche un historique des requêtes historiques que vous avez effectuées dans la barre latérale, vous permettant de cliquer sur une et de régénérer une réponse du chatbot.
Lundi matin, de nombreux utilisateurs de ChatGPT ont signalé avoir vu les requêtes de chat d’autres personnes répertoriées dans leur historique.
Comme indiqué pour la première fois par PC Magazine, plusieurs abonnés à ChatGPT Plus ont également signalé avoir vu les adresses e-mail d’autres personnes sur leurs pages d’abonnement.
Peu de temps après, OpenAI a mis ChatGPT hors ligne pour enquêter sur un problème, mais n’a pas fourni de détails sur la cause de la panne.
Bogue de la bibliothèque open source derrière la fuite de données
Aujourd’hui, OpenAi a publié un rapport post-mortem expliquant qu’un bogue dans la bibliothèque open source du client Redis a amené le service ChatGPT à exposer les requêtes de chat d’autres utilisateurs et les informations personnelles d’environ 1,2 % des abonnés ChatGPT Plus.
« Le bogue a été découvert dans la bibliothèque open source du client Redis, redis-py. Dès que nous avons identifié le bogue, nous avons contacté les responsables de Redis avec un correctif pour résoudre le problème », a déclaré OpenAI dans un post-mortem publié. aujourd’hui.
Les informations exposées comprennent le nom d’un abonné, son adresse e-mail, son adresse de paiement et les quatre derniers chiffres de son numéro de carte de crédit et sa date d’expiration.
« Après une enquête plus approfondie, nous avons également découvert que le même bogue pouvait avoir causé la visibilité involontaire des informations liées au paiement de 1,2 % des abonnés ChatGPT Plus qui étaient actifs pendant une fenêtre spécifique de neuf heures », explique le post-mortem.
« Dans les heures qui ont précédé la mise hors ligne de ChatGPT lundi, il était possible pour certains utilisateurs de voir le prénom et le nom, l’adresse e-mail, l’adresse de paiement, les quatre derniers chiffres (uniquement) d’un numéro de carte de crédit et la carte de crédit d’un autre utilisateur actif. date d’expiration. Les numéros de carte de crédit complets n’ont été exposés à aucun moment. »
OpenAI indique que le nombre de personnes dont les données ont été exposées est probablement très faible car cela nécessitait des actions spécifiques, notamment :
- Ouvrez un e-mail de confirmation d’abonnement envoyé le lundi 20 mars entre 1 h et 10 h, heure du Pacifique.
- Dans ChatGPT, cliquez sur « Mon compte », puis sur « Gérer mon abonnement » entre 1 h et 10 h, heure du Pacifique, le lundi 20 mars.
La société indique qu’elle contacte tous les utilisateurs de ChatGPT concernés dont les informations de paiement ont été exposées.
Le PDG d’OpenAI, Sam Altman, s’est excusé pour les fuites mercredi soir sur Twitter.
« Nous avons eu un problème important dans ChatGPT en raison d’un bogue dans une bibliothèque open source, pour lequel un correctif a maintenant été publié et nous venons de terminer la validation. un petit pourcentage d’utilisateurs a pu voir les titres de l’historique des conversations des autres utilisateurs « , a partagé Altman dans un tweet.
« Nous nous sentons très mal à ce sujet. »