信息化觀察網(wǎng)

本文來自嘶吼網(wǎng)，作者/ang010ela。

Redis開源庫漏洞引發(fā)ChatGPT支付數(shù)據(jù)泄露。

事件回顧

3月20日，多名ChatGPT訂閱用戶稱在其訂閱頁面看到了其他用戶的郵箱地址。

圖推特原文

隨后，OpenAI將ChatGPT下線并調(diào)查了這一問題，但并未說明ChatGPT停止服務(wù)的原因。

圖ChatGPT停止服務(wù)期間的狀態(tài)信息

數(shù)據(jù)泄露后的開源庫漏洞

3月24日，OpenAI發(fā)布報(bào)告稱發(fā)生這一意外事件的原因是Redis客戶端開源庫redis-py中存在漏洞，引發(fā)ChatGPT暴露了其他用戶的聊天會話查詢和個(gè)人信息，大約有1.2%的ChatGPT Plus訂閱用戶受到影響。暴露的信息包括訂閱用戶姓名、郵件地址、支付地址、信用卡后四位數(shù)字和信用卡過期日期。

OpenAI稱，該問題發(fā)生的時(shí)間窗口為9小時(shí)。在ChatGPT停止服務(wù)之前的9個(gè)小時(shí)，部分用戶可能可以看到其他用戶的姓名、郵箱地址、支付地址等信息，但信用卡號并未完全暴露。OpenAI認(rèn)為數(shù)據(jù)泄露的影響用戶非常少，因?yàn)樾枰M(jìn)行特定步驟才可以看到這些信息，包括：

打開在3月20日1點(diǎn)-10點(diǎn)之間發(fā)送的訂閱確認(rèn)郵件；

在ChatGPT中，點(diǎn)擊我的賬戶—>管理我的訂閱。

OpenAI發(fā)現(xiàn)該安全問題后，已與Redis維護(hù)人員取得聯(lián)系，并發(fā)布了補(bǔ)丁來修復(fù)該安全漏洞。OpenAI稱已聯(lián)系了所有個(gè)人支付信息暴露的ChatGPT用戶。

本文翻譯自：https://www.bleepingcomputer.com/news/security/openai-chatgpt-payment-data-leak-caused-by-open-source-bug/