ChatGPT安全存隱患:代碼漏洞暴露用戶(hù)支付信息
- 來(lái)源:The Verge
- 作者:3DM編譯
- 編輯:爆裂真菌
OpenAI 日前公開(kāi)了有關(guān)其在周一將 ChatGPT 下線(xiàn)的原因的新細(xì)節(jié),現(xiàn)在它表示一些用戶(hù)的支付信息可能在事件期間已經(jīng)暴露。
根據(jù)該公司的一篇文章,名為 redis-py 的開(kāi)源庫(kù)中的一個(gè)錯(cuò)誤造成了一個(gè)緩存問(wèn)題,該問(wèn)題可能會(huì)向一些活躍用戶(hù)顯示其他用戶(hù)信用卡的最后四位數(shù)字和到期日期,以及他們的名字和姓氏、電子郵件地址和付款地址。用戶(hù)也可能已經(jīng)看到了其他人聊天記錄的片段。
該公司表示,支付信息泄露可能影響了大約 1.2% ,在 3 月 20 日美國(guó)東部時(shí)間凌晨 4 點(diǎn)到下午 1 點(diǎn)之間使用該服務(wù)的 ChatGPT Plus 訂閱用戶(hù)。
根據(jù) OpenAI 的說(shuō)法,有兩種情況可能導(dǎo)致支付數(shù)據(jù)被顯示給未經(jīng)授權(quán)的用戶(hù)。如果用戶(hù)在該時(shí)間段內(nèi)轉(zhuǎn)到“我的帳戶(hù)”>“管理訂閱”屏幕,他們可能會(huì)看到當(dāng)時(shí)正在使用該服務(wù)的另一位 ChatGPT Plus 用戶(hù)的信息。該公司還表示,事件期間發(fā)送的一些訂閱確認(rèn)電子郵件發(fā)送給了錯(cuò)誤的人,其中包括用戶(hù)信用卡號(hào)碼的最后四位數(shù)字。
該公司表示,這兩件事有可能都發(fā)生在 3 月 20 日之前,但尚未確認(rèn)是否確實(shí)發(fā)生過(guò)。 OpenAI 已經(jīng)聯(lián)系了可能暴露了支付信息的用戶(hù)。
至于問(wèn)題發(fā)生的原因主要是緩存導(dǎo)致的。該公司在其文章中有完整的技術(shù)解釋?zhuān)?jiǎn)單來(lái)說(shuō)是公司使用一款名為 Redis 的軟件來(lái)緩存用戶(hù)信息。在某些情況下,取消的 Redis 請(qǐng)求會(huì)導(dǎo)致為不同的請(qǐng)求返回?fù)p壞的數(shù)據(jù),這本不應(yīng)該發(fā)生。通常,程序會(huì)獲取該數(shù)據(jù),比如“這不是我要求的”,然后返回錯(cuò)誤信息。
但是,如果其他人要求相同類(lèi)型的數(shù)據(jù),例如,如果他們想要加載他們的帳戶(hù)頁(yè)面并且數(shù)據(jù)是其他人的帳戶(hù)信息,該程序認(rèn)為一切正常并將其顯示給他們。
真正糟糕的是,在 3 月 20 日早上,OpenAI 對(duì)其服務(wù)器進(jìn)行了更改,意外導(dǎo)致取消的 Redis 請(qǐng)求激增,從而增加了錯(cuò)誤將不相關(guān)緩存返回給其他人的機(jī)會(huì)。
OpenAI 表示,該錯(cuò)誤出現(xiàn)在一個(gè)非常特殊的 Redis 版本中,現(xiàn)已修復(fù),并且從事該項(xiàng)目的人員是“出色的合作者”。公司還表示,它正在對(duì)自己的軟件和做法進(jìn)行一些更改,以防止此類(lèi)事情再次發(fā)生,包括添加“冗余檢查”以確保所提供的數(shù)據(jù)實(shí)際上屬于請(qǐng)求它的用戶(hù),并降低 Redis 在請(qǐng)求高負(fù)載的情況下返回錯(cuò)誤信息的可能性。


-
傳奇歲月
-
原始傳奇
-
斗羅大陸(我唐三認(rèn)可0.1折)
-
太閣立志2
-
奇門(mén)(0.1折仙俠不用閃)
-
深淵契約
-
貓狩紀(jì)0.1折
-
靈劍仙師(斗破蒼穹)
玩家點(diǎn)評(píng) (0人參與,0條評(píng)論)
熱門(mén)評(píng)論
全部評(píng)論