OpenAI confirma vazamento de dados de ChatGPT

Um bug em uma biblioteca de código aberto do ChatGPT pode ter exposto informações relacionadas a pagamentos de uma parte dos assinantes do plano Plus da ferramenta durante nove horas, segundo informações da OpenAI, que desconectou o chatbot no início da semana passada.

Na segunda-feira (24), horas antes de tirar o ChatGPT do ar, alguns usuários também puderam visualizar nome e sobrenome de outro usuário ativo, endereço de e-mail, endereço de pagamento, os últimos quatro dígitos (apenas) de um número de cartão de crédito e sua data de expiração. Os dados, segundo uma investigação mais profunda da empresa, atingiram 1,2% dos assinantes do ChatGPT Plus que estavam ativos durante nove horas em uma janela específica.

A OpenAI garante que os números completos dos cartões de crédito não foram expostos em nenhum momento.

Além disso, a postagem no blog acrescentou que a falha também “permitiu que alguns usuários vissem títulos do histórico do chat de outro usuário ativo”, bem como possivelmente “a primeira mensagem de uma conversa recém-criada fosse visível no histórico de bate-papo de outra pessoa se ambos os usuários estivessem ativos por volta da mesma hora”.

Imagem: Ascannio/Shutterstock.com

“Acreditamos que o número de usuários cujos dados foram realmente revelados a outra pessoa é extremamente baixo”, assegura a empresa de Sam Altman. Para visualizá-los, seria necessário que um assinante do ChatGPT Plus seguisse alguns passos, descritos abaixo pela OpenAI.

• Abrir um e-mail de confirmação de assinatura enviado na segunda-feira, 20 de março, entre 1h e 10h, horário do Pacífico. Devido ao bug, alguns e-mails de confirmação de assinatura gerados durante aquela janela foram enviados para os usuários errados. Estes e-mails continham os últimos quatro dígitos do número do cartão de crédito de outro usuário, mas os números completos do cartão de crédito não apareceram. É possível que um pequeno número de e-mails de confirmação de assinatura tenha sido incorretamente endereçado antes de 20 de março, embora não tenhamos confirmado nenhum caso.
• No ChatGPT, clique em “Minha conta”, depois em “Gerenciar minha assinatura” entre 1h e 10h, horário do Pacífico, na segunda-feira, 20 de março. Nesta janela, outro nome e sobrenome ativo do usuário do ChatGPT Plus, endereço de e-mail, endereço de pagamento, os últimos quatro dígitos (apenas) de um número de cartão de crédito e data de expiração do cartão de crédito podem ter sido visíveis. É possível que isso também possa ter ocorrido antes de 20 de março, embora não tenhamos confirmado nenhum caso.

Falha na biblioteca redis-py causou exposição de dados de ChatGPT

O bug foi descoberto na biblioteca de código aberto redis-py, do cliente Redis. A falha já foi corrigida com um patch, segundo a OpenAI. “Conseguimos restaurar tanto o serviço ChatGPT quanto, mais tarde, seu histórico de chat, com exceção de algumas horas do histórico”, informou.

Imagem: TechCrunch, CC BY 2.0 <https://creativecommons.org/licenses/by/2.0>, via Wikimedia Commons

De acordo com a empresa, os usuários afetados foram notificados. “Estamos confiantes de que não há risco contínuo para os dados dos usuários”, escreveu a OpenAI. “Todos na OpenAI estão comprometidos em proteger a privacidade de nossos usuários e manter seus dados seguros. É uma responsabilidade que levamos incrivelmente a sério. Infelizmente, esta semana ficamos aquém desse compromisso, e das expectativas de nossos usuários. Pedimos desculpas novamente aos nossos usuários e a toda a comunidade ChatGPT e trabalharemos diligentemente para reconstruir a confiança.”