OpenAI déclare que des données utilisateur sensibles ChatGPT ont été révélées par un bogue

Le bogue ChatGPT qui est apparu il y a quelques jours était un peu plus grave que ce qui avait été annoncé. Les données personnelles des abonnés ChatGPT Plus peuvent avoir été exposées.

OpenAI a été contraint de fermer son populaire chatbot ChatGPT il y a quelques jours après qu’un utilisateur a réussi à exploiter une faille dans le système pour obtenir l’historique des titres de discussion des autres utilisateurs. La société a publié aujourd’hui ses premières conclusions sur cet incident, qui s’est avéré plus grave qu’initialement annoncé .

Un bug ChatGPT survenu il y a quelques jours s’est avéré un peu plus grave qu’annoncé

Lors d’un incident plus tôt cette semaine, les utilisateurs ont publié des captures d’écran de leur barre latérale ChatGPT sur Reddit montrant les titres des conversations précédentes des autres utilisateurs. Titres uniquement. OpenAI, en réponse à ce grave problème, a pris la décision de fermer son chatbot, une interruption de service qui a duré près de 10 heures, le temps de se pencher sur la question. Les résultats de cette analyse ont révélé un problème de sécurité assez sérieux : un bug de l’historique des discussions aurait également pu faire fuir les données personnelles d’environ 1,2 % des abonnés à ChatGPT Plus – un abonnement de 20 $ par mois -.

« Dans les heures précédant l’arrêt de ChatGPT, certains utilisateurs pouvaient voir le prénom et le nom, l’adresse e-mail, l’adresse de facturation, les quatre derniers chiffres et la date d’expiration de la carte de crédit, d’autres utilisateurs actifs. Les numéros de carte de crédit complets n’ont jamais été publiés », explique l’équipe d’OpenAI. Le problème a été corrigé, la vulnérabilité se trouvait dans une bibliothèque client Redis open source tierce, redis-py.

Les données personnelles des abonnés ChatGPT Plus peuvent avoir été exposées

Cependant, l’entreprise a souhaité minimiser la portée de cette divulgation en expliquant les critères qui doivent être remplis pour une divulgation effective de ces données personnelles : « Ouvrir l’e-mail de confirmation d’inscription envoyé le lundi 20 mars entre 1h00 et 10h00 (fuseau horaire du Pacifique). En raison d’un bogue, certains de ces e-mails générés pendant cette fenêtre de temps ont été envoyés aux mauvais utilisateurs. Ces e-mails contenaient les quatre derniers chiffres du numéro de carte de crédit, mais pas le numéro complet. Il est possible qu’un petit nombre d’e-mails de confirmation aient été envoyés avant le 20 mars, mais nous n’avons aucune confirmation de tels cas. Autre scénario possible : « Dans ChatGPT, cliquez sur ‘Mon compte’ puis ‘Gérer mon abonnement’ entre 1h00 et 10h00 PT ce lundi 20 mars. Pendant cette fenêtre de temps, le nom, le prénom, l’adresse de facturation, les quatre derniers chiffres, et la date d’expiration de la carte de crédit d’un autre utilisateur actif de ChatGPT Plus pourrait être visible. Il est possible que cela se produise avant le 20 mars, mais nous n’avons aucune confirmation d’un tel cas.

La société a pris des mesures supplémentaires pour éviter que cette erreur ne se reproduise, notamment en ajoutant des vérifications redondantes lors de l’appel de ces bibliothèques, « en examinant systématiquement nos journaux pour s’assurer que tous les messages ne sont disponibles que pour les bons utilisateurs » et « en améliorant les journaux pour identifier quand un tel incident se produit et être en mesure de confirmer exactement quand il a disparu ». La société explique également avoir contacté les utilisateurs concernés par le sujet.