vazamento de dados de cartão de crédito de usuários pelo ChatGPT

Na segunda-feira (20), a OpenAI, empresa responsável pela inteligência artificial do ChatGPT, admitiu que desligou seu servidor devido a uma falha de segurança.

Anúncios

Após uma semana de investigação, a empresa confirmou o vazamento de dados confidenciais do usuário, incluindo o histórico de chamadas.

A OpenAI confirmou que a violação de dados foi causada por um bug na biblioteca de código aberto.

Além disso, a empresa de segurança cibernética GreyNoise observou que um componente recém-introduzido afeta vulnerabilidades que estão sendo exploradas ativamente.

Anúncios

O que isso significa na prática? Bem, de acordo com a pesquisa da OpenAI.

Os títulos do histórico de bate-papo de usuários ativos e a primeira mensagem de uma conversa recém-criada foram expostos na violação de dados.

O bug também expôs as informações de pagamento de 1,2% dos clientes do ChatGPT Plus, incluindo nome e sobrenome.

E-mail, endereço de cobrança, data de validade do cartão de pagamento e os últimos quatro dígitos do número do cartão de pagamento. cartão de cliente.

A OpenAI também disse que as informações foram divulgadas durante uma janela de nove horas na segunda-feira.

Acrescentando que parte de seu conteúdo também pode ter sido divulgada antes de 20 de março.

“Estamos notificando os usuários afetados de que seus detalhes de pagamento foram divulgados. não há risco contínuo para os dados do usuário”, disse a empresa em seu site.

Para evitar novos problemas relacionados, a empresa disse que tomou as seguintes medidas:

Testamos exaustivamente nossas correções de bugs;

Adicionadas verificações aleatórias para garantir que os dados retornados de nosso repositório Redis.

[onde o problema surgiu da biblioteca de código aberto] correspondam aos desejos do usuário;

Verificamos programaticamente nossos logs para garantir que todas as mensagens sejam acessíveis apenas aos usuários corretos;

Combinamos várias fontes de dados para identificar com precisão os usuários afetados para notificá-los;

Ajustamos o log para detectar quando isso acontece e confirmar que está completamente parado;

Otimizamos a robustez e a escalabilidade de nosso cluster Redis aprimorado para reduzir o risco de falhas de rede sob carga excessiva.

Problema do ChatGPT detectado pela empresa de segurança

Na sexta-feira (24), a empresa de inteligência de ameaças GreyNoise enviou uma notificação sobre um novo recurso no ChatGPT.

Que aumenta os recursos de inteligência do chatbot usando plugins.

GreyNoise observa que as amostras de código que o OpenAI fornece aos clientes interessados ​​em usar plug-ins com o novo recurso.

Contêm uma imagem afetada pela vulnerabilidade.

A versão da imagem do docker usada na amostra OpenAI, versão 17/03/2022, é afetada por CVE-2023-28432.

Uma vulnerabilidade que pode ser explorada para obter chaves confidenciais e senhas de root.

Para piorar a situação, GreyNoise já detectou várias tentativas de explorar a vulnerabilidade.

“Embora não tenhamos nenhuma informação que sugira que atores específicos estejam visando instâncias do ChatGPT.

Estamos vendo a vulnerabilidade sendo explorada ativamente no campo.

À medida que os invasores tentam identificar e explorar os serviços extensivamente vulneráveis, ‘tudo’ está em risco.

Incluindo todos enviaram plug-ins ChatGPT que usam uma versão desatualizada do MiniIO”, alertou a empresa de segurança.


*Fonte de pesquisa: OpenAI

\
Trends