OpenAI tiết lộ lỗi Redis đằng sau sự cố lộ dữ liệu người dùng ChatGPT

www.tuoitre.vn -   29/03/2023 08:00:00 679

OpenAI vào thứ Sáu đã tiết lộ rằng một lỗi trong thư viện nguồn mở Redis chịu trách nhiệm cho việc tiết lộ thông tin cá nhân và tiêu đề trò chuyện của người dùng khác trong dịch vụ ChatGPT mới nổi vào đầu tuần này.

OpenAI tiết lộ lỗi Redis đằng sau sự cố lộ dữ liệu người dùng ChatGPT

Sự cố được đưa ra ánh sáng vào ngày 20 tháng 3 năm 2023 đã cho phép một số người dùng nhất định xem các mô tả ngắn gọn về các cuộc trò chuyện của những người dùng khác từ thanh bên lịch sử trò chuyện, khiến công ty phải tạm thời đóng chatbot.

Công ty cho biết: “Cũng có thể tin nhắn đầu tiên của cuộc trò chuyện mới được tạo đã hiển thị trong lịch sử trò chuyện của người khác nếu cả hai người dùng đều hoạt động cùng một lúc”.

Nó nói thêm rằng lỗi bắt nguồn từ thư viện redis-py, dẫn đến tình huống trong đó các yêu cầu bị hủy có thể khiến kết nối bị hỏng và trả về dữ liệu không mong muốn từ bộ đệm cơ sở dữ liệu, trong trường hợp này là thông tin thuộc về người dùng không liên quan.

Tệ hơn nữa, công ty nghiên cứu AI có trụ sở tại San Francisco cho biết họ đã nhầm lẫn đưa ra một thay đổi phía máy chủ dẫn đến số lượng yêu cầu bị hủy tăng đột biến, do đó làm tăng tỷ lệ lỗi.

Mặc dù vấn đề đã được giải quyết, OpenAI lưu ý rằng vấn đề có thể có nhiều tác động hơn ở nơi khác, có khả năng tiết lộ thông tin liên quan đến thanh toán của 1,2% số người đăng ký ChatGPT Plus vào ngày 20 tháng 3 trong khoảng thời gian từ 1-10 giờ sáng theo giờ Thái Bình Dương.

Điều này bao gồm họ và tên, địa chỉ email, địa chỉ thanh toán, bốn chữ số cuối (chỉ) của số thẻ tín dụng và ngày hết hạn của thẻ tín dụng. Nó nhấn mạnh rằng số thẻ tín dụng đầy đủ không được tiết lộ.

Công ty cho biết họ đã liên hệ với những người dùng bị ảnh hưởng để thông báo cho họ về sự cố rò rỉ. Nó cũng cho biết "đã thêm các kiểm tra dự phòng để đảm bảo dữ liệu được trả về bởi bộ đệm Redis của chúng tôi khớp với người dùng yêu cầu."

OpenAI sửa lỗi tiếp quản tài khoản quan trọng

Trong một vấn đề khác liên quan đến bộ nhớ đệm, công ty cũng đã giải quyết lỗ hổng chiếm đoạt tài khoản quan trọng có thể bị khai thác để chiếm quyền kiểm soát tài khoản của người dùng khác, xem lịch sử trò chuyện của họ và truy cập thông tin thanh toán mà họ không hề hay biết.

Lỗ hổng được nhà nghiên cứu bảo mật Gal Nagli phát hiện, vượt qua các biện pháp bảo vệ do OpenAI đưa ra trên chat.openai[.]com để đọc dữ liệu nhạy cảm của nạn nhân.

Điều này đạt được bằng cách trước tiên tạo một liên kết được chế tạo đặc biệt nối thêm tài nguyên .CSS vào điểm cuối "chat.openai[.]com/api/auth/session/" và lừa nạn nhân nhấp vào liên kết, khiến phản hồi chứa một Đối tượng JSON với chuỗi accessToken sẽ được lưu vào bộ đệm trong CDN của Cloudflare.

Phản hồi được lưu trong bộ nhớ cache đối với tài nguyên CSS (có giá trị tiêu đề CF-Cache-Status được đặt thành HIT) sau đó bị kẻ tấn công lạm dụng để thu thập thông tin xác thực Mã thông báo web JSON (JWT) của mục tiêu và chiếm đoạt tài khoản.

Nagli cho biết lỗi đã được OpenAI sửa trong vòng hai giờ sau khi tiết lộ trách nhiệm, cho thấy mức độ nghiêm trọng của vấn đề.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 34
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 39
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 36
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 33
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 29
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 19
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

LIÊN HỆ

Thông tin liên hệ