La vulnérabilité ChatGPT a exposé les conversations des utilisateurs, les détails de paiement

Une grave faille de sécurité dans ChatGPT d’OpenAI a exposé les conversations des utilisateurs, les détails de paiement et d’autres données. OpenAI a divulgué des détails sur le bogue après que ChatGPT a présenté une panne massive la semaine dernière.

Vulnérabilité ChatGPT confirmée par OpenAI exposant des données

Le 20 mars 2023, ChatGPT d’OpenAI a connu une panne mondiale, suscitant des inquiétudes chez les utilisateurs. Cependant, il est apparu comme délibéré des fournisseurs après avoir découvert un bogue sérieux dans le service.

Selon les détails partagés dans un posteOpenAI a retiré ChatGPT hors ligne après avoir remarqué une vulnérabilité susceptible de porter atteinte à la vie privée des utilisateurs.

Plus précisément, la faille affectait la bibliothèque open source du client Redis qui exposait les messages de discussion et les titres des conversations des utilisateurs actifs les uns aux autres. ChatGPT utilise cette bibliothèque pour mettre en cache les informations des utilisateurs, recycler les connexions lors des requêtes et maintenir le pool partagé de connexions, et répartir la charge sur plusieurs instances Redis.

Comme révélé, la vulnérabilité est apparue lorsqu’une demande entrante s’annulait après avoir atteint la file d’attente et avant qu’une réponse sortante ne puisse apparaître.

Si une requête est annulée après que la requête a été poussée dans la file d’attente entrante, mais avant que la réponse ne soit sortie de la file d’attente sortante, nous voyons notre bogue : la connexion est donc corrompue et la prochaine réponse retirée de la file d’attente pour une requête non liée peut recevoir les données laissées derrière dans la connexion.

Alors que le résultat dans de tels cas était principalement une erreur de serveur, dans quelques cas, l’utilisateur verrait les données mises en cache d’un utilisateur non lié.

Dans la plupart des cas, cela se traduit par une erreur de serveur irrécupérable et l’utilisateur devra réessayer sa demande.
Mais dans certains cas, les données corrompues correspondent au type de données que le demandeur attendait, et donc ce qui est renvoyé du cache semble valide, même s’il appartient à un autre utilisateur.

Le bogue est apparu pendant une fenêtre de 9 heures – entre 1 h et 10 h (heure du Pacifique) le 20 mars 2023. En plus d’exposer les conversations des utilisateurs, la vulnérabilité a également exposé les détails de paiement des abonnés payants à d’autres utilisateurs. Cela pourrait être un problème sensible puisque les détails divulgués comprenaient les noms complets, les adresses e-mail, les adresses de facturation, les quatre derniers chiffres des numéros de carte de crédit et les dates d’expiration des cartes.

OpenAI a corrigé le bogue

Suite à cette découverte, OpenAI a retiré ChatGPT hors ligne et a commencé à travailler sur un correctif. Ils ont corrigé la vulnérabilité et déployé des contrôles de sécurité supplémentaires pour s’assurer que les utilisateurs obtenaient la réponse souhaitée à leurs demandes. La firme a également identifié les utilisateurs concernés par cette vulnérabilité afin de les informer sur le problème.

Le service a également apprécié que Redis corrige rapidement la vulnérabilité pour les utilisateurs de ChatGPT.

Néanmoins, bien que la vulnérabilité ait été corrigée, les utilisateurs, principalement les abonnés payants, peuvent envisager de contacter leurs banques pour une surveillance appropriée afin d’éviter d’éventuelles transactions malveillantes.

Faites-nous part de vos réflexions dans les commentaires.