Una falla de seguridad grave en ChatGPT de OpenAI ha expuesto conversaciones de usuarios, detalles de pago y otros datos. OpenAI filtró detalles sobre el error después de que ChatGPT mostró una interrupción masiva la semana pasada.
Vulnerabilidad de ChatGPT confirmada por OpenAI exponiendo datos
El 20 de marzo de 2023, ChatGPT de OpenAI experimentó una interrupción global, lo que generó preocupación entre los usuarios. Sin embargo, pareció deliberado por parte de los proveedores después de descubrir un error grave en el servicio.
Según los detalles compartidos en un artículo, OpenAI desconectó ChatGPT después de notar una vulnerabilidad que podría comprometer la privacidad del usuario.
Específicamente, la falla afectó la biblioteca de código abierto del cliente Redis que expuso los mensajes de chat y los títulos de chat de los usuarios activos entre sí. ChatGPT usa esta biblioteca para almacenar en caché la información del usuario, reciclar las conexiones durante las solicitudes y mantener el conjunto compartido de conexiones, y distribuir la carga entre varias instancias de Redis.
Como se reveló, la vulnerabilidad apareció cuando una solicitud entrante se canceló después de llegar a la cola y antes de que pudiera aparecer una respuesta saliente.
Si se cancela una solicitud después de que la solicitud se haya enviado a la cola de entrada, pero antes de que la respuesta se haya eliminado de la cola de salida, vemos nuestro error: por lo tanto, la conexión está dañada y la siguiente respuesta de la cola para una solicitud independiente puede recibir datos dejados atrás en la conexión.
Si bien el resultado en tales casos fue principalmente un error del servidor, en algunos casos el usuario vería datos almacenados en caché de un usuario no relacionado.
En la mayoría de los casos, esto da como resultado un error fatal del servidor y el usuario tendrá que volver a intentar su solicitud.
Pero en algunos casos, los datos dañados coinciden con el tipo de datos que esperaba el solicitante, por lo que lo que se devuelve desde el caché parece válido, incluso si pertenece a otro usuario.
El error apareció durante una ventana de 9 horas, entre la 1 a. m. y las 10 a. m. PT del 20 de marzo de 2023. Además de exponer las conversaciones de los usuarios, la vulnerabilidad también expuso los detalles de pago de los suscriptores pagos a otros usuarios. Este podría ser un tema delicado ya que los detalles filtrados incluían nombres completos, direcciones de correo electrónico, direcciones de facturación, últimos cuatro dígitos de números de tarjetas de crédito y fechas de vencimiento de las tarjetas.
OpenAI solucionó el error
Después de este descubrimiento, OpenAI desconectó ChatGPT y comenzó a trabajar en una solución. Parcharon la vulnerabilidad e implementaron controles de seguridad adicionales para garantizar que los usuarios obtuvieran la respuesta deseada a sus solicitudes. La firma también ha identificado a los usuarios afectados por esta vulnerabilidad para informarles sobre el problema.
El servicio también valoró que Redis corrigiera rápidamente la vulnerabilidad para los usuarios de ChatGPT.
No obstante, aunque la vulnerabilidad ha sido parcheada, los usuarios, principalmente los suscriptores de pago, pueden considerar contactar a sus bancos para realizar un seguimiento adecuado y evitar posibles transacciones maliciosas.
Háganos saber sus pensamientos en los comentarios.
