A empresa OpenAI, encarregada da inteligência artificial generativa do ChatGPT, confirmou recentemente que desligou seus servidores em decorrência de uma vulnerabilidade de segurança. Depois de sete dias de investigação, a empresa admitiu o vazamento de dados sensíveis de usuários, inclusive do histórico de conversas. Saiba mais.
De acordo com a explicação da empresa, este vazamento aconteceu em decorrência de um bug em uma biblioteca de código aberto. Fora isso, a empresa de segurança cibernética GreyNoise detectou que um componente introduzido recentemente é atingido por uma vulnerabilidade explorada ativamente.
Na prática, de acordo com a investigação da OpenAI, neste vazamento de dados vazaram os títulos do histórico de bate-papo dos usuários ativos e a primeira mensagem de uma conversa recém-criada.
Esta falha revelou ainda dados relativos a pagamentos pertencentes a 1,2% dos assinantes do ChatGPT Plus, o que inclui nome e sobrenome, endereço de e-mail, endereço de pagamento, data de validade do cartão de pagamento e os últimos quatro dígitos do número do cartão do usuário.
Foi dito ainda pela OpenAI que os dados foram vazados em um período de nove horas no último dia 20 e revelou que uma parte do conteúdo também pode ter vazado antes de 20 de março.
“Entramos em contato para notificar os usuários afetados de que suas informações de pagamento podem ter sido expostas. Estamos confiantes de que não há risco contínuo para os dados dos usuários”, explicou a empresa em postagem do seu blog.
Ações para evitar novos vazamentos
A empresa informou ainda em seu blog que aplicou as seguintes ações para evitar que este vazamento se repita:
- Testamos exaustivamente nossa correção para o bug;
- Foram adicionadas verificações redundantes para garantir que os dados retornados por nosso cache Redis [onde resultou o problema na biblioteca de código aberto] correspondam ao usuário solicitante;
- Examinamos programaticamente nossos logs para garantir que todas as mensagens estejam disponíveis apenas para o usuário correto;
- Correlacionamos várias fontes de dados para identificar com precisão os usuários afetados para que possamos notificá-los;
- Aprimoramos o registro para identificar quando isso está acontecendo e confirmarmos se parou totalmente;
- Aprimoramos a robustez e a escala do nosso cluster Redis aprimoradas para reduzir a probabilidade de erros de conexão em cargas extremas.
