OpenAI, Pazartesi günü ChatGPT’yi neden çevrimdışı duruma getirdiğine ilişkin yeni ayrıntıları açıkladı ve şimdi olay sırasında bazı kullanıcıların ödeme bilgilerinin açığa çıkmış olabileceğini söylüyor.
Buna göre şirketten bir yazı, bir açık kaynak kitaplığındaki redis-py adlı bir hata, bazı aktif kullanıcılara başka bir kullanıcının kredi kartının son dört hanesini ve son kullanma tarihini, adları ve soyadları, e-posta adresleri ve ödeme adresleriyle birlikte göstermiş olabilecek bir önbelleğe alma sorunu oluşturdu. . Kullanıcılar ayrıca başkalarının sohbet geçmişlerinin parçacıklarını da görmüş olabilir.
Bu, önbelleğe alma sorunlarının kullanıcıların birbirlerinin verilerini ilk kez görmelerine neden olmuyor – ünlü olarak, 2015 Noel Günü, Steam kullanıcıları diğer kullanıcıların hesaplarından bilgiler içeren sayfalar sunuldu. OpenAI’nin yapay zekasının potansiyel güvenlik ve güvenlik sonuçlarını bulmak için çok fazla odaklanma ve araştırma yapması, ancak çok iyi bilinen bir güvenlik sorunu tarafından yakalanması gerçeğinde biraz ironi var.
Şirket, ödeme bilgisi sızıntısının, hizmeti 20 Mart’ta 04:00 ile 13:00 ET arasında kullanan ChatGPT Plus’ın yaklaşık yüzde 1,2’sini etkilemiş olabileceğini söylüyor.
Yalnızca olay sırasında uygulamayı kullanıyorsanız etkilendiniz.
OpenAI’ye göre, ödeme verilerinin yetkisiz bir kullanıcıya gösterilmesine neden olabilecek iki senaryo var. Bir kullanıcı zaman dilimi içinde Hesabım > Aboneliği yönet ekranına gittiyse, o sırada hizmeti aktif olarak kullanan başka bir ChatGPT Plus kullanıcısının bilgilerini görmüş olabilir. Şirket ayrıca, olay sırasında gönderilen bazı abonelik onay e-postalarının yanlış kişiye gittiğini ve bunların bir kullanıcının kredi kartı numarasının son dört hanesini içerdiğini söylüyor.
Şirket, bunların her ikisinin de ayın 20’sinden önce gerçekleşmiş olabileceğini ancak bunun gerçekleştiğine dair bir doğrulamaya sahip olmadığını söylüyor. OpenAI, ödeme bilgileri açığa çıkmış olabilecek kullanıcılara ulaştı.
gelince Nasıl bunların hepsi oldu, görünüşe göre önbelleğe almaya geldi. Şirketin tam bir gönderisinde teknik açıklama, ancak TL;DR, kullanıcı bilgilerini önbelleğe almak için Redis adlı bir yazılım kullanmasıdır. Belirli koşullar altında, iptal edilen bir Redis isteği, bozuk verilerin farklı bir istek için döndürülmesine neden olur (ki bu olmamalıydı). Genellikle, uygulama bu verileri alır, “istediğim bu değildi” der ve bir hata atar.
Ancak diğer kişi aynı türde veriler istiyorsa – örneğin hesap sayfasını yüklemek istiyorsa ve veriler başka birinin hesap bilgileriyse – uygulama her şeyin yolunda olduğuna karar verdi ve bunu onlara gösterdi.
Bu nedenle insanlar diğer kullanıcıların ödeme bilgilerini ve sohbet geçmişini görüyordu; aslında başka birine gitmesi gereken ancak iptal edilen bir istek nedeniyle gitmeyen önbellek verileri onlara sunuluyordu. Bu yüzden sadece aktif olan kullanıcıları etkiledi. Uygulamayı kullanmayan kişilerin verileri önbelleğe alınmaz.
İşleri gerçekten kötü yapan şey, 20 Mart sabahı OpenAI’nin sunucusunda yanlışlıkla iptal edilen Redis isteklerinde ani bir artışa neden olan ve hatanın birine ilgisiz bir önbellek döndürme şansını artıran bir değişiklik yapmasıydı.
OpenAI, Redis’in çok özel bir sürümünde ortaya çıkan hatanın düzeltildiğini ve projede çalışan kişilerin “harika işbirlikçileri” olduğunu söylüyor. Ayrıca, sunulan verilerin gerçekten onu talep eden kullanıcıya ait olduğundan emin olmak için “gereksiz kontroller” eklemek ve bu olasılığı azaltmak da dahil olmak üzere, bu tür şeylerin tekrar olmasını önlemek için kendi yazılımında ve uygulamalarında bazı değişiklikler yaptığını söylüyor. Redis kümesi, yüksek yükler altında hatalar çıkarır.
Bu kontrollerin en başta orada olması gerektiğini iddia etsem de, OpenAI’nin onları şimdi eklemiş olması iyi bir şey. Açık kaynaklı yazılım, modern web için gereklidir, ancak aynı zamanda kendi zorluklarını da beraberinde getirir; herkes kullanabildiği için hatalar aynı anda çok sayıda hizmeti ve şirketi etkileyebilir. Ayrıca, kötü niyetli bir kişi belirli bir şirketin hangi yazılımı kullandığını bilirse, potansiyel olarak bu yazılımı hedef alarak bilerek bir açıktan yararlanma girişiminde bulunabilir. Bunu zorlaştıran kontroller var, ancak Google gibi şirketlerin gösterdiği gibi, bunun olmamasını sağlamak için çalışmak ve gerçekleşirse hazırlıklı olmak en iyisidir.