کمپانی OpenAI خالق سرویس پر سرو صدای ChatGPT اعلام کرده به دلیل وجود یه باگ امنیتی در کتابخونه Redis-py بخشی از اطلاعات کاربراش به بیرون نشت کرده.
این شرکت روز جمعه با Redis برای حل این مشکل تماس گرفته و در این مدت chatbot رو آفلاین کرده بود.
باگ در کتابخونه Redis-py هستش که یه کتابخونه متن باز برای کلاینت Redis هستش. توسعه دهندگان chatbot از Redis برای ذخیره اطلاعات کاربران در سرورهاشون استفاده میکنن، تا مجبور نباشن برای هر درخواستی دیتابیس رو بررسی کنن. باگ باعث میشد تا کاربران ChatGPT ، چتهای متعلق به یه کاربر دیگه رو مشاهده کنن.
طبق تحقیقات داخلی شرکت، عناوین تاریخچه چت کاربران و اولین پیام در یه گفتگوی جدید در نقض داده ها هستش. همچنین باگ منجر به افشای اطلاعات پرداخت 1.2 درصد از کاربران ChatGPT Plus از جمله نام و نام خانوادگی، ایمیل،آدرس،تاریخ انقضاء و 4 رقم آخر شماره کارت هم شده.
این اطلاعات میتونه در ایمیلهای تایید اشتراک ارسالی در 20 مارس ، 29 اسفند 1401، قرار گرفته باشه یا همون روز در صفحه مدیریت اشتراک در اکانتهای ChatGPT نمایش داده شده باشه.
این کمپانی گفته که این اطلاعات طی یه زمان 9 ساعته ممکنه در دسترس بوده، البته اعلام کرده که ممکنه قبل از 20 مارس هم به بیرون درز کرده باشه.
علاوه بر آسیب پذیری بالا، شرکت امنیتی GreyNoise هم یه مشکل امنیتی رو در ویژگی جدید ChatGPT کشف کرده که امکان جمع آوری اطلاعات chatbot از طریق پلاگینها رو فراهم میکنه.
داستان این آسیب پذیری هم اینجوری بوده که شرکت GreyNoise متوجه شده نمونه کدهای ارائه شده توسط OpenAI برای مشتریایی که علاقمند به ادغام پلاگینهای خود با ویژگی جدید هستن، شامل یه ایمیج داکر برای سیستم ذخیره سازی اشیاء توزیع شده MinIO هستش. نسخه این داکر 2022-03-17 هستش که یه آسیب پذیری افشای اطلاعات با شناسه CVE-2023-28432 داره. با این آسیب پذیری میشه secret keyها و پسوردهای Root استخراج کرد و این شرکت گفته که تلاشهایی برای این منظور توسط مهاجمین هم مشاهده کرده.