OpenAI tiết lộ lỗi Redis đằng sau sự cố lộ dữ liệu người dùng ChatGPT

www.tuoitre.vn -   29/03/2023 08:00:00 584

OpenAI vào thứ Sáu đã tiết lộ rằng một lỗi trong thư viện nguồn mở Redis chịu trách nhiệm cho việc tiết lộ thông tin cá nhân và tiêu đề trò chuyện của người dùng khác trong dịch vụ ChatGPT mới nổi vào đầu tuần này.

OpenAI tiết lộ lỗi Redis đằng sau sự cố lộ dữ liệu người dùng ChatGPT

Sự cố được đưa ra ánh sáng vào ngày 20 tháng 3 năm 2023 đã cho phép một số người dùng nhất định xem các mô tả ngắn gọn về các cuộc trò chuyện của những người dùng khác từ thanh bên lịch sử trò chuyện, khiến công ty phải tạm thời đóng chatbot.

Công ty cho biết: “Cũng có thể tin nhắn đầu tiên của cuộc trò chuyện mới được tạo đã hiển thị trong lịch sử trò chuyện của người khác nếu cả hai người dùng đều hoạt động cùng một lúc”.

Nó nói thêm rằng lỗi bắt nguồn từ thư viện redis-py, dẫn đến tình huống trong đó các yêu cầu bị hủy có thể khiến kết nối bị hỏng và trả về dữ liệu không mong muốn từ bộ đệm cơ sở dữ liệu, trong trường hợp này là thông tin thuộc về người dùng không liên quan.

Tệ hơn nữa, công ty nghiên cứu AI có trụ sở tại San Francisco cho biết họ đã nhầm lẫn đưa ra một thay đổi phía máy chủ dẫn đến số lượng yêu cầu bị hủy tăng đột biến, do đó làm tăng tỷ lệ lỗi.

Mặc dù vấn đề đã được giải quyết, OpenAI lưu ý rằng vấn đề có thể có nhiều tác động hơn ở nơi khác, có khả năng tiết lộ thông tin liên quan đến thanh toán của 1,2% số người đăng ký ChatGPT Plus vào ngày 20 tháng 3 trong khoảng thời gian từ 1-10 giờ sáng theo giờ Thái Bình Dương.

Điều này bao gồm họ và tên, địa chỉ email, địa chỉ thanh toán, bốn chữ số cuối (chỉ) của số thẻ tín dụng và ngày hết hạn của thẻ tín dụng. Nó nhấn mạnh rằng số thẻ tín dụng đầy đủ không được tiết lộ.

Công ty cho biết họ đã liên hệ với những người dùng bị ảnh hưởng để thông báo cho họ về sự cố rò rỉ. Nó cũng cho biết "đã thêm các kiểm tra dự phòng để đảm bảo dữ liệu được trả về bởi bộ đệm Redis của chúng tôi khớp với người dùng yêu cầu."

OpenAI sửa lỗi tiếp quản tài khoản quan trọng

Trong một vấn đề khác liên quan đến bộ nhớ đệm, công ty cũng đã giải quyết lỗ hổng chiếm đoạt tài khoản quan trọng có thể bị khai thác để chiếm quyền kiểm soát tài khoản của người dùng khác, xem lịch sử trò chuyện của họ và truy cập thông tin thanh toán mà họ không hề hay biết.

Lỗ hổng được nhà nghiên cứu bảo mật Gal Nagli phát hiện, vượt qua các biện pháp bảo vệ do OpenAI đưa ra trên chat.openai[.]com để đọc dữ liệu nhạy cảm của nạn nhân.

Điều này đạt được bằng cách trước tiên tạo một liên kết được chế tạo đặc biệt nối thêm tài nguyên .CSS vào điểm cuối "chat.openai[.]com/api/auth/session/" và lừa nạn nhân nhấp vào liên kết, khiến phản hồi chứa một Đối tượng JSON với chuỗi accessToken sẽ được lưu vào bộ đệm trong CDN của Cloudflare.

Phản hồi được lưu trong bộ nhớ cache đối với tài nguyên CSS (có giá trị tiêu đề CF-Cache-Status được đặt thành HIT) sau đó bị kẻ tấn công lạm dụng để thu thập thông tin xác thực Mã thông báo web JSON (JWT) của mục tiêu và chiếm đoạt tài khoản.

Nagli cho biết lỗi đã được OpenAI sửa trong vòng hai giờ sau khi tiết lộ trách nhiệm, cho thấy mức độ nghiêm trọng của vấn đề.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 373
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 90
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 442
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 382
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 52
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...

Chatbot AI nào thông minh nhất hiện nay?

28/03/2024 12:00:00 39
ChatGPT bị soán ngôi, không còn là chatbot AI thông minh nhất hiện nay.
Xem thêm

LIÊN HỆ

Thông tin liên hệ