OpenAI bestätigt, dass ein Fehler am Montag dazu führte, dass ChatGPT neben dem Durchsickern von Gesprächsverläufen von zufälligen Benutzern auch Zahlungsdetails für bezahlte Benutzer offenlegte.
Am Montag berichteten Benutzer, die versuchten, den kostenpflichtigen Dienst ChatGPT Plus zu abonnieren, dass E-Mail-Adressen von zufälligen Benutzern im Zahlungsformular auftauchten. Aber es stellt sich heraus, dass ChatGPT noch mehr Informationen von bezahlten Benutzern offengelegt hat.
Nachdem OpenAI zunächst das Leck im Gesprächsverlauf bestätigt hatte, veröffentlichte es eine ausführlichere Blogeintrag(Öffnet in einem neuen Fenster) heute geht es um den Ausfall vom Montag, bei dem es sich um einen Softwarefehler handelte, der dazu führte, dass ChatGPT Informationen in seiner internen Datenbank preisgab.
„Bei eingehender Untersuchung haben wir auch festgestellt, dass derselbe Fehler möglicherweise die unbeabsichtigte Sichtbarkeit von zahlungsbezogenen Informationen von 1,2 % der ChatGPT Plus-Abonnenten verursacht hat, die während eines bestimmten neunstündigen Fensters aktiv waren“, sagte das Unternehmen.
„In den Stunden, bevor wir ChatGPT am Montag offline genommen haben, war es für einige Benutzer möglich, den Vor- und Nachnamen, die E-Mail-Adresse, die Zahlungsadresse, die letzten vier Ziffern einer Kreditkartennummer und die Kreditkarte eines anderen aktiven Benutzers zu sehen Ablaufdatum“, fügte OpenAI hinzu. „Die vollständigen Kreditkartennummern wurden zu keinem Zeitpunkt offengelegt.“
Das Unternehmen sagt jedoch, dass die Wahrscheinlichkeit, dass ein Fremder tatsächlich alle diese Zahlungsinformationen von einem zufälligen Abonnenten sieht, „extrem gering“ ist. Das liegt daran, dass die offengelegten Zahlungsdetails teilweise durch Bestätigungs-E-Mails für neue ChatGPT Plus-Abonnenten eintrafen, die am Montagmorgen zwischen 1:00 und 10:00 Uhr PST gesendet wurden.
„Aufgrund des Fehlers wurden einige Abonnementbestätigungs-E-Mails, die während dieses Fensters generiert wurden, an die falschen Benutzer gesendet“, sagte OpenAI. „Diese E-Mails enthielten die letzten vier Ziffern der Kreditkartennummer eines anderen Benutzers, aber es wurden keine vollständigen Kreditkartennummern angezeigt. Es ist möglich, dass eine kleine Anzahl von Abonnement-Bestätigungs-E-Mails vor dem 20. März falsch adressiert wurde, obwohl wir keine Fälle davon bestätigt haben.“
Andere offengelegte Zahlungsdetails waren verfügbar, wenn ein Benutzer auf der ChatGPT-Website auf die Funktion „Mein Konto“ und dann zwischen 1 Uhr morgens und 10 Uhr morgens auf „Mein Abonnement verwalten“ klickte. „Während dieses Fensters waren möglicherweise der Vor- und Nachname, die E-Mail-Adresse, die Zahlungsadresse, die (nur) letzten vier Ziffern einer Kreditkartennummer und das Ablaufdatum der Kreditkarte eines anderen aktiven ChatGPT Plus-Benutzers sichtbar“, sagte das Unternehmen.
Als Reaktion darauf wendet sich OpenAI an betroffene Benutzer über die potenzielle Datenschutzverletzung. „Wir entschuldigen uns erneut bei unseren Benutzern und der gesamten ChatGPT-Community und werden fleißig daran arbeiten, das Vertrauen wieder aufzubauen“, schrieb das Unternehmen.
Von unseren Redakteuren empfohlen
OpenAI macht für das Leck einen Fehler in einer Open-Source-Bibliothek verantwortlich, um eine Datenbank von Redis aus auszuführen. Das Unternehmen hat sich auf eine Redis-Bibliothek verlassen, um Benutzerinformationen auf seinen Servern zwischenzuspeichern. Die Bibliothek ist so konzipiert, dass sie sowohl Anforderungen als auch Antworten als „zwei Warteschlangen“ behandelt. Es kann jedoch ein Problem auftreten, wenn eine Anfrage storniert wird, bevor sie vollständig verarbeitet wurde.
„Wenn eine Anfrage abgebrochen wird, nachdem die Anfrage in die eingehende Warteschlange verschoben wurde, aber bevor die Antwort aus der ausgehenden Warteschlange kam, sehen wir unseren Fehler: Die Verbindung wird dadurch beschädigt und die nächste Antwort, die für eine nicht verwandte Anfrage aus der Warteschlange entfernt wird, kann übrige Daten erhalten in der Verbindung zurückbleiben“, sagt OpenAI.
Am Montag um 1 Uhr morgens gab OpenAI bekannt, dass es eine Serveränderung eingeführt hat, die zu einem Anstieg der Stornierungen von Redis-Anfragen führte, was die Datenbeschädigung verursachte. „Dies führte zu einer geringen Wahrscheinlichkeit, dass jede Verbindung fehlerhafte Daten zurückgibt“, hieß es.
Das Unternehmen hat den Fehler gepatcht und Sicherheitsvorkehrungen hinzugefügt, um sicherzustellen, dass Anfragen an die Redis-Caches mit dem anfragenden Benutzer übereinstimmen. „Wir sind zuversichtlich, dass die Daten der Benutzer nicht dauerhaft gefährdet sind“, sagte OpenAI. Außerdem scheint die Seitenleiste des Chatverlaufs auf ChatGPT wiederhergestellt zu sein.
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen Und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.