查看原文
其他

OpenAI确认ChatGPT用户信用卡信息泄漏事件

2023年3月20日,据报道在上周一,ChatGPT遭遇了一次用户数据泄漏事件,许多ChatGPT的用户都在自己的历史对话中看到了其他人的对话记录。不光是对话的历史记录,不少ChatGPT Plus用户还在Reddit和Twitter等平台发出了截图,表示在他们的订阅页面上看到了其他人的电子邮件地址。

事件发生后,OpenAI临时关闭了ChatGPT服务以调查问题,后续Open AI的首席执行官Sam Altman也亲自发了推文,承认他们确实遭遇了重大问题,不过当时并没有公布问题的细节,只表示是一个开源库的错误导致的

经过多日的调查,OpenAI日前发布了一份包含技术细节的事件报告,该事件是Redis客户端开源库中的一个错误所引发的,导致ChatGPT服务暴露了其他用户的聊天查询历史和大约1.2%的ChatGPT Plus用户的个人信息。

技术细节

  • 这个错误是在Redis客户端开源库redis-py中发现的。发现这个bug后,OpenAI就立即联系了Redis的维护者,提供了一个补丁来解决这个问题。以下是这个错误的具体细节:

  • OpenAI使用Redis在他们的服务器中缓存用户信息,所以ChatGPT不需要为每个请求检查数据库。

  • OpenAI使用Redis Cluster将这一负载分布到多个Redis实例上。

  • OpenAI使用redis-py库,以便让用了Asyncio的Python服务器与Redis对接。

  • 该库在服务器和集群之间维护一个共享的连接池,并在完成后回收连接以用于另一个请求。

  • 当使用Asyncio时,redis-py的请求和响应表现为两个队列:调用者将请求推送到传入队列,并从传出队列中弹出响应,然后将连接返回到池中。

  • 如果在请求被推送到传入队列之后,但在响应从传出队列中弹出之前,请求被取消,我们就会看到错误:连接因此被破坏,下一个为不相关的请求出列的响应可以接收连接中留下的数据。

  • 在大多数情况下,这会导致一个无法恢复的服务器错误,而用户将不得不重新尝试他们的请求。

  • 但在某些情况下,损坏的数据恰好与请求者所期望的数据类型相匹配,因此从缓存中返回的数据看起来是有效的,即使这些数据属于另一个用户。

  • 在太平洋时间3月20日星期一凌晨1点,OpenAI无意中给他们的服务器引入了一个变化,导致Redis请求取消的情况激增。这在一定程度上引发了每个连接返回错误数据的可能性。

  • 这个错误只出现在Redis Cluster的Asyncio redis-py客户端,现在已经被修复。

经过深入调查,OpenAI发现一些用户有可能看到其他活跃用户的姓名、电子邮件地址、账单地址、信用卡号码的最后四位数和信用卡到期日,OpenAI特别强调道,完整的信用卡号码并没有暴露。这部分受影响的用户占ChatGPT Plus用户总数的1.2%,目前他们正在联系了所有受影响的ChatGPT用户。来源:新京报

相关阅读

澳洲地产巨头Meriton遭遇黑客攻击 媒体称客户资料或被盗

澳大利亚纬度金融约1400万客户个人信息遭黑客窃取

男子远程操控27人电脑 长期偷窥女性隐私获刑

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存