OpenAI ha risolto il bug che permetteva di vedere i titoli delle conversazioni nella cronologia di altri utenti. In seguito all’indagine approfondita è stato tuttavia scoperto che i dati di alcuni abbonati a ChatGPT Plus sono stati divulgati per errore. OpenAI ha fornito inoltre i dettagli tecnici sul bug.
Svelate le informazioni di pagamento
A causa del bug, OpenAI ha spento ChatGPT. Il servizio è stato riattivato dopo circa 10 ore, ma la cronologia è stata ripristinata successivamente. Dopo aver effettuato un’indagine più approfondita, OpenAI ha scoperto che sono stati mostrati ad altri utenti le informazioni di pagamento dell’1,2% degli abbonati Plus, attivi in una finestra temporale di nove ore.
La divulgazione dei dati è avvenuta in due modi. L’email di conferma del pagamento è stata inviata agli utenti sbagliati. Questi ultimi hanno quindi visto le ultime quattro cifre del numero della carta di credito degli abbonati. Alcuni utenti hanno inoltre visto nel loro account nome, cognome, indirizzo, ultime quattro cifre del numero della carta di credito e scadenza della carta di credito di un altro abbonato. OpenAI ha contattato tutti gli utenti interessati.
Il bug che ha causato il problema era presente nella libreria redis-py del client Redis. Quest’ultimo viene usato da OpenAI per memorizzare nella cache del server le informazioni dell’utente, in modo da evitare l’accesso al database per ogni richiesta. La libreria redis-py viene usata per l’interfaccia tra Redis e il server Python. La libreria mantiene un pool di connessioni tra server e cluster Redis, e ricicla una connessione da usare per un’altra richiesta.
A causa del bug, la risposta alla richiesta ha prelevato dalla cache i dati di un altro utente. Gli sviluppatori di Redis hanno fornito la patch per risolvere il problema. Redis è il software che permette a OpenAI di consentire milioni di accessi contemporanei a ChatGPT.