Une grave faille de sécurité dans le logiciel ChatGPT d'OpenAI a exposé les conversations des utilisateurs, les détails de leurs paiements et d'autres données. OpenAI a révélé les détails de ce bogue après que ChatGPT ait connu une panne massive la semaine dernière.
OpenAI confirme que la vulnérabilité de ChatGPT expose des données
Le 20 mars 2023, le service ChatGPT de l'OpenAI a connu une panne mondiale, suscitant l'inquiétude des utilisateurs. Cependant, il est apparu comme délibéré de la part des fournisseurs après la découverte d'un bogue sérieux dans le service.
Selon les détails partagés dans un billet, OpenAI a mis hors ligne ChatGPT après avoir remarqué une vulnérabilité susceptible de porter atteinte à la vie privée des utilisateurs.
Plus précisément, la faille affectait la bibliothèque open-source Redis client qui exposait les messages de chat et les titres des conversations des utilisateurs actifs les uns aux autres. ChatGPT utilise cette bibliothèque pour la mise en cache des informations sur les utilisateurs, le recyclage des connexions lors des requêtes et le maintien du pool partagé de connexions, ainsi que la répartition de la charge sur plusieurs instances Redis.
La vulnérabilité est apparue lorsqu'une requête entrante était annulée après avoir atteint la file d'attente et avant qu'une réponse n'apparaisse.
Si une requête est annulée après avoir été poussée dans la file d'attente entrante, mais avant que la réponse ne sorte de la file d'attente sortante, nous voyons notre bogue : la connexion devient alors corrompue et la prochaine réponse qui est mise en file d'attente pour une requête sans rapport peut recevoir des données laissées dans la connexion.
Bien que le résultat dans de tels cas soit principalement une erreur du serveur, dans quelques cas, l'utilisateur peut voir des données mises en cache provenant d'un utilisateur non lié.
Dans la plupart des cas, il s'agit d'une erreur de serveur irrécupérable, et l'utilisateur doit réessayer sa requête.
Mais dans certains cas, les données corrompues correspondent au type de données attendu par le demandeur, de sorte que les données renvoyées par le cache semblent valides, même si elles appartiennent à un autre utilisateur.
Le bogue est apparu pendant 9 heures, entre 1 heure et 10 heures du matin (heure du Pacifique) le 20 mars 2023. En plus d'exposer les conversations des utilisateurs, la vulnérabilité a également exposé les détails de paiement des abonnés payants à d'autres utilisateurs. Il pourrait s'agir d'une question sensible puisque les informations divulguées comprennent les noms complets, les adresses électroniques, les adresses de facturation, les quatre derniers chiffres des numéros de carte de crédit et les dates d'expiration des cartes.
OpenAI a corrigé le bug
À la suite de cette découverte, OpenAI a mis ChatGPT hors ligne et a commencé à travailler sur un correctif. L'entreprise a corrigé la vulnérabilité et a déployé des contrôles de sécurité supplémentaires pour s'assurer que les utilisateurs obtiennent la réponse souhaitée à leurs demandes. L'entreprise a également identifié les utilisateurs affectés par cette vulnérabilité afin de les informer du problème.
Le service a également remercié Redis d'avoir rapidement corrigé la vulnérabilité pour les utilisateurs de ChatGPT.
Néanmoins, bien que la vulnérabilité ait été corrigée, les utilisateurs, principalement les abonnés payants, peuvent envisager de contacter leurs banques pour un contrôle approprié afin d'éviter d'éventuelles transactions malveillantes.
Faites-nous part de vos impressions dans les commentaires.
