Redis客户端开源库漏洞导致ChatGPT泄漏支付卡信息等
编译:代码卫士
OpenAI 公司指出,Redis 客户端开源库漏洞是上周一ChatGPT服务中断以及数据泄露的元凶。该攻击使用户能够看到其他人的个人信息和聊天查询。
ChatGPT 在侧边栏展示用户所提的历史查询,可使用户点击这些查询使GPT重新生成响应。上周一,很多ChatGPT 用户称可以在自己的历史中看到其他人的聊天查询。PC Magazine 媒体率先报道了此情况,称多名ChatGPT Plus 服务的订阅用户也可在订阅页面看到其他用户的邮件地址。之后,OpenAI 将ChatGPT 下线调查此事,但该公司并未说明服务中断详情。
开源库漏洞导致数据泄露
OpenAI 发布报告解释称,Redis 客户端的开源库中存在一个漏洞,导致ChatGPT 服务暴露了其他用户的聊天查询以及1.2%的ChatGPT Plus订阅用户的个人信息。
OpenAI 指出,“该漏洞位于Redis开源库 redis-py 中。我们发现该漏洞后与Redis 维护人员联系,并获得相关补丁解决了该漏洞。”
被暴露的信息保护订阅用户的姓名、邮件地址、支付地址和信用卡号的最后四个数字以及失效日期。报告中提到,“深入调查后,我们还发现该漏洞也可能导致在9小时时间窗口内的1.2%的ChatGPT Plus订阅用户的支付相关信息遭非故意泄露。周一下线ChatGPT的几小时前,一些用户很可能看到了其他活跃用户的姓氏和名字、邮件地址、支付卡地址、信用卡号的最后四位数字和信用卡失效日期。完整的信用卡卡号并未遭暴露。”
OpenAI 表示,数据遭暴露的人员数量可能非常少,因为数据泄露发生的特定要求是:
用户须在太平洋时间3月20日上午1点至10点之间,打开订阅确认邮件。
用户须在在太平洋时间3月20日上午1点至10点之间,ChatGPT中点击“我的账户“,之后点击”管理我的订阅“。
OpenAI 公司表示,他们正在联系所有支付信息遭暴露的ChatGPT 用户。该公司的首席执行官 Sam Altman 在周三晚推特上就此事致歉。
他写道,“因为开源库中的一个漏洞,我们的ChatGPT 遭受重大问题,目前修复方案已发布,我们刚验证结束。一少部分用户能够看到其他用户会话历史的标题。我们对此深感抱歉。”
研究员利用ChatGPT制造出多态恶意软件Blackmamba
https://www.bleepingcomputer.com/news/security/openai-chatgpt-payment-data-leak-caused-by-open-source-bug/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。