Fuite de données sur ChatGPT le 20 mars : explication et mesures prises

Dans cet article, nous revenons sur la récente panne de ChatGPT survenue le 20 mars et les actions entreprises pour résoudre le problème. Un bug dans une bibliothèque open-source a conduit à des problèmes de confidentialité pour certains utilisateurs, et nous partageons ici les détails techniques de l'incident.

Le problème et l'impact sur les utilisateurs

Le 20 mars, ChatGPT a été mis hors ligne à cause d'un bug dans une bibliothèque open-source qui a permis à certains utilisateurs de voir les titres de l'historique de chat d'autres utilisateurs. De plus, il est possible que le premier message d'une conversation nouvellement créée soit visible dans l'historique de chat d'un autre utilisateur si les deux étaient actifs en même temps.

Suite à une enquête approfondie, il a été découvert que le même bug aurait pu causer la visibilité involontaire d'informations de paiement pour 1,2% des abonnés ChatGPT Plus actifs pendant une fenêtre de neuf heures spécifique. Les informations exposées incluaient le nom, l'adresse e-mail, l'adresse de paiement, les quatre derniers chiffres du numéro de carte de crédit et la date d'expiration.

Détails techniques du bug

Le bug a été découvert dans la bibliothèque open-source du client Redis, redis-py. Le problème est lié à la façon dont les requêtes et les réponses sont gérées avec Asyncio et redis-py, entraînant des erreurs de données corrompues dans certaines situations. Ce bug n'apparaît que dans le client Asyncio redis-py pour Redis Cluster et a été corrigé.

Actions entreprises

OpenAI s'est concentré sur le soutien et l'information des utilisateurs. Plusieurs actions ont été entreprises pour améliorer les systèmes, notamment :

  1. Tester de manière approfondie la correction du bug.
  2. Ajouter des contrôles redondants pour s'assurer que les données renvoyées par le cache Redis correspondent à l'utilisateur qui fait la demande.
  3. Examiner de manière programmatique les logs pour s'assurer que tous les messages sont disponibles uniquement pour l'utilisateur concerné.
  4. Corréler plusieurs sources de données pour identifier précisément les utilisateurs affectés afin de les informer.
  5. Améliorer la journalisation pour identifier et confirmer l'arrêt de ce problème.
  6. Renforcer la robustesse et la capacité du cluster Redis pour réduire la probabilité d'erreurs de connexion en cas de charge extrême.

Conclusion

Les responsables de Redis ont collaboré efficacement pour corriger rapidement le bug et déployer un correctif. OpenAI est déterminé à soutenir et à contribuer continuellement à la communauté Redis, qui joue un rôle crucial dans les efforts de recherche et le développement de ChatGPT.

Source : OpenAI