OpenAI tiết lộ lỗi Redis đằng sau sự cố lộ dữ liệu người dùng ChatGPT

www.tuoitre.vn -   29/03/2023 08:00:00 770

OpenAI vào thứ Sáu đã tiết lộ rằng một lỗi trong thư viện nguồn mở Redis chịu trách nhiệm cho việc tiết lộ thông tin cá nhân và tiêu đề trò chuyện của người dùng khác trong dịch vụ ChatGPT mới nổi vào đầu tuần này.

OpenAI tiết lộ lỗi Redis đằng sau sự cố lộ dữ liệu người dùng ChatGPT

Sự cố được đưa ra ánh sáng vào ngày 20 tháng 3 năm 2023 đã cho phép một số người dùng nhất định xem các mô tả ngắn gọn về các cuộc trò chuyện của những người dùng khác từ thanh bên lịch sử trò chuyện, khiến công ty phải tạm thời đóng chatbot.

Công ty cho biết: “Cũng có thể tin nhắn đầu tiên của cuộc trò chuyện mới được tạo đã hiển thị trong lịch sử trò chuyện của người khác nếu cả hai người dùng đều hoạt động cùng một lúc”.

Nó nói thêm rằng lỗi bắt nguồn từ thư viện redis-py, dẫn đến tình huống trong đó các yêu cầu bị hủy có thể khiến kết nối bị hỏng và trả về dữ liệu không mong muốn từ bộ đệm cơ sở dữ liệu, trong trường hợp này là thông tin thuộc về người dùng không liên quan.

Tệ hơn nữa, công ty nghiên cứu AI có trụ sở tại San Francisco cho biết họ đã nhầm lẫn đưa ra một thay đổi phía máy chủ dẫn đến số lượng yêu cầu bị hủy tăng đột biến, do đó làm tăng tỷ lệ lỗi.

Mặc dù vấn đề đã được giải quyết, OpenAI lưu ý rằng vấn đề có thể có nhiều tác động hơn ở nơi khác, có khả năng tiết lộ thông tin liên quan đến thanh toán của 1,2% số người đăng ký ChatGPT Plus vào ngày 20 tháng 3 trong khoảng thời gian từ 1-10 giờ sáng theo giờ Thái Bình Dương.

Điều này bao gồm họ và tên, địa chỉ email, địa chỉ thanh toán, bốn chữ số cuối (chỉ) của số thẻ tín dụng và ngày hết hạn của thẻ tín dụng. Nó nhấn mạnh rằng số thẻ tín dụng đầy đủ không được tiết lộ.

Công ty cho biết họ đã liên hệ với những người dùng bị ảnh hưởng để thông báo cho họ về sự cố rò rỉ. Nó cũng cho biết "đã thêm các kiểm tra dự phòng để đảm bảo dữ liệu được trả về bởi bộ đệm Redis của chúng tôi khớp với người dùng yêu cầu."

OpenAI sửa lỗi tiếp quản tài khoản quan trọng

Trong một vấn đề khác liên quan đến bộ nhớ đệm, công ty cũng đã giải quyết lỗ hổng chiếm đoạt tài khoản quan trọng có thể bị khai thác để chiếm quyền kiểm soát tài khoản của người dùng khác, xem lịch sử trò chuyện của họ và truy cập thông tin thanh toán mà họ không hề hay biết.

Lỗ hổng được nhà nghiên cứu bảo mật Gal Nagli phát hiện, vượt qua các biện pháp bảo vệ do OpenAI đưa ra trên chat.openai[.]com để đọc dữ liệu nhạy cảm của nạn nhân.

Điều này đạt được bằng cách trước tiên tạo một liên kết được chế tạo đặc biệt nối thêm tài nguyên .CSS vào điểm cuối "chat.openai[.]com/api/auth/session/" và lừa nạn nhân nhấp vào liên kết, khiến phản hồi chứa một Đối tượng JSON với chuỗi accessToken sẽ được lưu vào bộ đệm trong CDN của Cloudflare.

Phản hồi được lưu trong bộ nhớ cache đối với tài nguyên CSS (có giá trị tiêu đề CF-Cache-Status được đặt thành HIT) sau đó bị kẻ tấn công lạm dụng để thu thập thông tin xác thực Mã thông báo web JSON (JWT) của mục tiêu và chiếm đoạt tài khoản.

Nagli cho biết lỗi đã được OpenAI sửa trong vòng hai giờ sau khi tiết lộ trách nhiệm, cho thấy mức độ nghiêm trọng của vấn đề.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 147
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 129
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 385
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...

Hơn 15.000 Bộ định tuyến Four-Faith bị k...

26/12/2024 08:00:00 47
Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ địn...

Bạn nghĩ sao nếu người dùng ảo là chatbo...

26/12/2024 12:00:00 39
Các chatbot AI đã trở nên rất giống con người trong vòng một năm qua, nghe có vẻ khó chấp nhận nhưng...

Các cuộc tấn công mạng “bẻ khóa” thông t...

25/12/2024 08:00:00 221
Công ty an ninh mạng toàn cầu Kaspersky cho biết đã ngăn chặn hơn 23 triệu cuộc tấn công bruteforce ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button