OpenAI confirma vazamento de dados de ChatGPT
Falha na biblioteca de código aberto redis-py teria causado exposição de dados de pagamento e parte do histórico de clientes ChatGPT PlusBy - Liliane Nakagawa, 30 março 2023 às 14:20
Um bug em uma biblioteca de código aberto do ChatGPT pode ter exposto informações relacionadas a pagamentos de uma parte dos assinantes do plano Plus da ferramenta durante nove horas, segundo informações da OpenAI, que desconectou o chatbot no início da semana passada.
Na segunda-feira (24), horas antes de tirar o ChatGPT do ar, alguns usuários também puderam visualizar nome e sobrenome de outro usuário ativo, endereço de e-mail, endereço de pagamento, os últimos quatro dígitos (apenas) de um número de cartão de crédito e sua data de expiração. Os dados, segundo uma investigação mais profunda da empresa, atingiram 1,2% dos assinantes do ChatGPT Plus que estavam ativos durante nove horas em uma janela específica.
A OpenAI garante que os números completos dos cartões de crédito não foram expostos em nenhum momento.
Além disso, a postagem no blog acrescentou que a falha também “permitiu que alguns usuários vissem títulos do histórico do chat de outro usuário ativo”, bem como possivelmente “a primeira mensagem de uma conversa recém-criada fosse visível no histórico de bate-papo de outra pessoa se ambos os usuários estivessem ativos por volta da mesma hora”.
“Acreditamos que o número de usuários cujos dados foram realmente revelados a outra pessoa é extremamente baixo”, assegura a empresa de Sam Altman. Para visualizá-los, seria necessário que um assinante do ChatGPT Plus seguisse alguns passos, descritos abaixo pela OpenAI.
- Abrir um e-mail de confirmação de assinatura enviado na segunda-feira, 20 de março, entre 1h e 10h, horário do Pacífico. Devido ao bug, alguns e-mails de confirmação de assinatura gerados durante aquela janela foram enviados para os usuários errados. Estes e-mails continham os últimos quatro dígitos do número do cartão de crédito de outro usuário, mas os números completos do cartão de crédito não apareceram. É possível que um pequeno número de e-mails de confirmação de assinatura tenha sido incorretamente endereçado antes de 20 de março, embora não tenhamos confirmado nenhum caso.
- No ChatGPT, clique em “Minha conta”, depois em “Gerenciar minha assinatura” entre 1h e 10h, horário do Pacífico, na segunda-feira, 20 de março. Nesta janela, outro nome e sobrenome ativo do usuário do ChatGPT Plus, endereço de e-mail, endereço de pagamento, os últimos quatro dígitos (apenas) de um número de cartão de crédito e data de expiração do cartão de crédito podem ter sido visíveis. É possível que isso também possa ter ocorrido antes de 20 de março, embora não tenhamos confirmado nenhum caso.
Falha na biblioteca redis-py causou exposição de dados de ChatGPT
O bug foi descoberto na biblioteca de código aberto redis-py, do cliente Redis. A falha já foi corrigida com um patch, segundo a OpenAI. “Conseguimos restaurar tanto o serviço ChatGPT quanto, mais tarde, seu histórico de chat, com exceção de algumas horas do histórico”, informou.
De acordo com a empresa, os usuários afetados foram notificados. “Estamos confiantes de que não há risco contínuo para os dados dos usuários”, escreveu a OpenAI. “Todos na OpenAI estão comprometidos em proteger a privacidade de nossos usuários e manter seus dados seguros. É uma responsabilidade que levamos incrivelmente a sério. Infelizmente, esta semana ficamos aquém desse compromisso, e das expectativas de nossos usuários. Pedimos desculpas novamente aos nossos usuários e a toda a comunidade ChatGPT e trabalharemos diligentemente para reconstruir a confiança.”
Comentários