Em causa está a exploração de uma vulnerabilidade na biblioteca de open source Redis-py, introduzida numa atualização a 20 de março
A OpenAI confirmou uma violação de dados causada por uma falha de segurança ativamente explorada num componente recentemente introduzido sua biblioteca de open source. A criadora do ChatGPT disse que desativou o chatbot enquanto trabalhava na manutenção da plataforma de dados Redis para corrigir a falha, que resultou na exposição de informações dos utilizadores. A falha estava relacionada com a utilização do Redis-py pelo ChatGPT, uma biblioteca de open source e foi introduzida por uma alteração feita a 20 de março. A Redis é utilizada para armazenar cache do utilizador no seu servidor, para evitar ter de verificar a database a cada solicitação. A biblioteca Redis-py serve como uma interface Python. A falha levou a que utilizadores do ChatGPT vissem dados do chat de outros utilizadores. Segundo a investigação da OpenAI, foram expostos os títulos do histórico do chat dos utilizadores ativos, a primeira mensagem de uma solicitação recentemente criada, e informações relacionadas com o pagamento de 1,2% dos assinantes do ChatGPT Plus – o nome e sobrenome, endereço de email, endereço de pagamento, data de validade do cartão de pagamento e os últimos quatro dígitos do número do cartão de cliente. Estas informações podem ter sido incluídas em emails de confirmação de subscrições enviados a 20 de março e, ainda, em páginas de gestão de subscrições. Segundo a OpenAI, a informação ficou exposta durante nove horas, mas pode ter sido revelada antes da data indicada. “Entrámos em contato para notificar os utilizadores afetados de que suas informações de pagamento podem ter sido expostas. Estamos confiantes de que não há risco contínuo para os dados dos utilizadores”, disse a OpenAI numa publicação no blog. |