OpenAI 日前公開了有關其在周一將 ChatGPT 下線的原因的新細節,現在它表示一些用戶的支付資訊可能在事件期間已經暴露。
根據該公司的一篇文章,名為 redis-py 的開源庫中的一個錯誤造成了一個緩存問題,該問題可能會向一些活躍用戶顯示其他用戶信用卡的最後四位數字和到期日期,以及他們的名字和姓氏、電子郵件地址和付款地址。用戶也可能已經看到了其他人聊天記錄的片段。
該公司表示,支付資訊泄露可能影響了大約 1.2% ,在 3 月 20 日美國東部時間凌晨 4 點到下午 1 點之間使用該服務的 ChatGPT Plus 訂閱用戶。
根據 OpenAI 的說法,有兩種情況可能導致支付數據被顯示給未經授權的用戶。如果用戶在該時間段內轉到「我的帳戶」>「管理訂閱」螢幕,他們可能會看到當時正在使用該服務的另一位 ChatGPT Plus 用戶的資訊。該公司還表示,事件期間發送的一些訂閱確認電子郵件發送給了錯誤的人,其中包括用戶信用卡號碼的最後四位數字。
該公司表示,這兩件事有可能都發生在 3 月 20 日之前,但尚未確認是否確實發生過。 OpenAI 已經聯繫了可能暴露了支付資訊的用戶。
至於問題發生的原因主要是緩存導致的。該公司在其文章中有完整的技術解釋,但簡單來說是公司使用一款名為 Redis 的軟體來緩存用戶資訊。在某些情況下,取消的 Redis 請求會導致為不同的請求返回損壞的數據,這本不應該發生。通常,程序會獲取該數據,比如「這不是我要求的」,然後返回錯誤資訊。
但是,如果其他人要求相同類型的數據,例如,如果他們想要加載他們的帳戶頁面並且數據是其他人的帳戶資訊,該程序認為一切正常並將其顯示給他們。
真正糟糕的是,在 3 月 20 日早上,OpenAI 對其伺服器進行了更改,意外導致取消的 Redis 請求激增,從而增加了錯誤將不相關緩存返回給其他人的機會。
OpenAI 表示,該錯誤出現在一個非常特殊的 Redis 版本中,現已修復,並且從事該項目的人員是「出色的合作者」。公司還表示,它正在對自己的軟體和做法進行一些更改,以防止此類事情再次發生,包括添加「冗餘檢查」以確保所提供的數據實際上屬於請求它的用戶,並降低 Redis 在請求高負載的情況下返回錯誤資訊的可能性。
