Cuma günü OpenAI, Redis açık kaynak kitaplığındaki bir hatanın, bu hafta başlarında diğer kullanıcıların kişisel bilgilerinin ve yeni başlayan ChatGPT hizmetindeki sohbet başlıklarının açığa çıkmasından sorumlu olduğunu açıkladı.
bu kusur20 Mart 2023’te ortaya çıkan , belirli kullanıcıların sohbet geçmişi kenar çubuğundan diğer kullanıcıların konuşmalarının kısa açıklamalarını görüntülemesini sağlayarak şirketin sohbet robotunu geçici olarak kapatmasını istedi.
Şirket, “Her iki kullanıcı da aynı anda aktifse, yeni oluşturulan bir sohbetin ilk mesajının başka birinin sohbet geçmişinde görünmesi de mümkündür.” söz konusu.
Ek olarak, hatanın şu kaynaktan kaynaklandığını da ekledi: redis-py kütüphanesiiptal edilen isteklerin bağlantıların bozulmasına neden olabileceği ve veritabanı önbelleğinden beklenmedik verilerin (bu durumda ilgisiz bir kullanıcıya ait bilgiler) döndürülebileceği bir senaryoya yol açar.
Daha da kötüsü, San Francisco merkezli AI araştırma şirketi, istek iptallerinde bir artışa yol açan ve böylece hata oranını artıran sunucu tarafında bir değişiklik yaptığını söyledi.
Sorun o zamandan beri ele alınmış olsa da OpenAI, sorunun başka yerlerde daha fazla etkisi olabileceğini ve potansiyel olarak 20 Mart günü 1-10:00 PT arasında ChatGPT Plus abonelerinin %1,2’sinin ödemeyle ilgili bilgilerini açığa çıkardığını belirtti.
Buna başka bir aktif kullanıcının adı ve soyadı, e-posta adresi, ödeme adresi, bir kredi kartı numarasının son dört hanesi (yalnızca) ve kredi kartı son kullanma tarihi dahildir. Tam kredi kartı numaralarının ifşa edilmediğini vurguladı.
Şirket, etkilenen kullanıcılara kasıtsız sızıntıyı bildirmek için ulaştığını söyledi. Ayrıca, “Redis önbelleğimiz tarafından döndürülen verilerin istekte bulunan kullanıcıyla eşleşmesini sağlamak için gereksiz kontroller eklediğini” söyledi.
OpenAI, Kritik Hesap Devralma Hatasını Düzeltiyor
Önbelleğe almayla ilgili başka bir sorunda şirket, başka bir kullanıcının hesabının kontrolünü ele geçirmek, sohbet geçmişini görüntülemek ve bilgisi olmadan fatura bilgilerine erişmek için kullanılabilecek kritik bir hesap devralma güvenlik açığını da ele aldı.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
olan kusur keşfetti güvenlik araştırmacısı Gal Nagli tarafından, OpenAI tarafından chat.openai’de uygulanan korumaları atlıyor[.]Bir kurbanın hassas verilerini okumak için com.
Bu, önce “chat.openai”ye bir .CSS kaynağı ekleyen özel olarak hazırlanmış bir bağlantı oluşturarak elde edilir.[.]com/api/auth/session/” uç nokta ve bir kurbanı bağlantıya tıklaması için kandırarak, accessToken dizesine sahip bir JSON nesnesi içeren yanıtın önbelleğe alınmasına neden olur Cloudflare’ın CDN’si.
CSS kaynağına önbelleğe alınmış yanıt ( CF-Cache-Status başlığı HIT olarak ayarlanan değer) daha sonra saldırgan tarafından hedefin JSON Web Simgesi (JWT) kimlik bilgilerini toplamak ve hesabı ele geçirmek için kötüye kullanılır.
Nagli, hatanın OpenAI tarafından sorumlu açıklamanın ardından iki saat içinde giderildiğini ve sorunun ciddiyetinin bir göstergesi olduğunu söyledi.
