查看原文
其他

Redis客户端开源库漏洞导致ChatGPT泄漏支付卡信息等

Lawrence Abrams 代码卫士 2023-05-27

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


OpenAI 公司指出,Redis 客户端开源库漏洞是上周一ChatGPT服务中断以及数据泄露的元凶。该攻击使用户能够看到其他人的个人信息和聊天查询。

ChatGPT 在侧边栏展示用户所提的历史查询,可使用户点击这些查询使GPT重新生成响应。上周一,很多ChatGPT 用户称可以在自己的历史中看到其他人的聊天查询。PC Magazine 媒体率先报道了此情况,称多名ChatGPT Plus 服务的订阅用户也可在订阅页面看到其他用户的邮件地址。之后,OpenAI 将ChatGPT 下线调查此事,但该公司并未说明服务中断详情。



开源库漏洞导致数据泄露

OpenAI 发布报告解释称,Redis 客户端的开源库中存在一个漏洞,导致ChatGPT 服务暴露了其他用户的聊天查询以及1.2%的ChatGPT Plus订阅用户的个人信息。

OpenAI 指出,“该漏洞位于Redis开源库 redis-py 中。我们发现该漏洞后与Redis 维护人员联系,并获得相关补丁解决了该漏洞。”

被暴露的信息保护订阅用户的姓名、邮件地址、支付地址和信用卡号的最后四个数字以及失效日期。报告中提到,“深入调查后,我们还发现该漏洞也可能导致在9小时时间窗口内的1.2%的ChatGPT Plus订阅用户的支付相关信息遭非故意泄露。周一下线ChatGPT的几小时前,一些用户很可能看到了其他活跃用户的姓氏和名字、邮件地址、支付卡地址、信用卡号的最后四位数字和信用卡失效日期。完整的信用卡卡号并未遭暴露。”

OpenAI 表示,数据遭暴露的人员数量可能非常少,因为数据泄露发生的特定要求是:

  • 用户须在太平洋时间3月20日上午1点至10点之间,打开订阅确认邮件。

  • 用户须在在太平洋时间3月20日上午1点至10点之间,ChatGPT中点击“我的账户“,之后点击”管理我的订阅“。

OpenAI 公司表示,他们正在联系所有支付信息遭暴露的ChatGPT 用户。该公司的首席执行官 Sam Altman 在周三晚推特上就此事致歉。

他写道,“因为开源库中的一个漏洞,我们的ChatGPT 遭受重大问题,目前修复方案已发布,我们刚验证结束。一少部分用户能够看到其他用户会话历史的标题。我们对此深感抱歉。”




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

ChatGPT 出现bug,会话历史标题遭暴露

研究员利用ChatGPT制造出多态恶意软件Blackmamba

3·15特辑 | 少侠,可曾听说ChatGPT也有“食品安全问题”?

攻击者已利用ChatGPT编写恶意代码

学生利用“提示符注入”方法,攻破ChatGPT版必应搜索



原文链接

https://www.bleepingcomputer.com/news/security/openai-chatgpt-payment-data-leak-caused-by-open-source-bug/


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存