近日 OpenAI 針對本周稍早將 ChatGPT 下線的原因做了詳細解釋,並且坦承此次發生的資安事件中,部分使用者的信用卡支付資訊可能暴露。
OpenAI 在一篇官方文章中指出,一名為 redis-py 的開源資料庫中的一個 bug 造成了快取問題,這項問題可能會向一些活躍用戶顯示其他用戶信用卡的末 4 碼以及信用卡到期日期,以及這些用戶的姓氏、名字、電子郵件地址、付款地址,且可能看到其他人的聊天紀錄片段。
根據科技網站《THE VERGE》,快取問題導致使用者看到彼此數據的情況並非首見,最為著名的是遊戲平台 Steam 在 2015 年聖誕節當天也發生過類似事件。
誰會受到影響?
首先如果你並非 ChatGPT Plus 的訂閱用戶,那麼就不受影響,並且 OpenAI 也已經寄出通知信件給可能受到影響的用戶,如果你並沒有收到信件,那麼應該可以放心了。
OpenAI 指出,信用卡支付資訊洩露的問題可能影響了大約 1.2% 的 ChatGPT Plus 使用者,這些人在太平洋時間 3 月 20 日星期一凌晨 1 點到早上 10 點之間使用了該服務。(約為台灣時間 3 月 20 日星期一下午 4 點至 3 月 21 日凌晨 1 點)
不過,OpenAI 也指出,實際上此次洩露信用卡數據的 ChatGPT Plus 使用者數量可能極少,只有在以下兩種情況會發生。
- 使用者必須打開在太平洋時間 3 月 20 日星期一凌晨 1 點到 10 點發送的訂閱確認電子郵件。這是因為該快取錯誤,此期間生成的一些訂閱確認電子郵件被發送給了錯誤的使用者。這些電郵當中含有另一個用戶的信用卡號末 4 碼,但未顯示完整的卡號。
- 使用者必須在太平洋時間 3 月 20 日星期一凌晨 1 點到 10 點之間,在 ChatGPT 中點擊「我的帳戶」>「管理我的訂閱」,在此期間中,另一個活躍的 ChatGPT Plus 使用者的名字、姓氏、電子郵件地址、付款地址、信用卡末 4 碼以及信用卡到期日期都是可見的。
OpenAI 還指出,以上兩種情況也可能在 3 月 20 日之前發生,不過尚未確認到有此情況。
可能還有哪些風險?
OpenAI 表示,Redis 維護人員們是出色的合作者,迅速解決了此次的 bug 並推出了補丁。「Redis 和其他開源軟體在我們的研究工作中發揮著至關重要的作用,它們的重要性不可低估——如果沒有 Redis ,我們將無法擴大 ChatGPT 的規模。」
不過,《THE VERGE》也指出,開源軟體對於現代網路來說至關重要,卻也面臨挑戰,因為任何人都可以使用,所以一旦出現 bug 就會影響大量的服務和公司。加上若有心人士知道特定公司使用什麼開源軟體,他們可能會以該軟體為目標,並且利用那些漏洞。
