bug-di-chatgpt:-openai-rivela-cos'e-accaduto-|-sicurezza.net

Bug di ChatGPT: OpenAI rivela cos'è accaduto | sicurezza.net

Venerdì OpenAI ha dichiarato che un bug nella libreria Redis ha causato l’esposizione di dati personali degli utenti nel servizio ChatGPT dell’azienda all’inizio della settimana.

L’inconveniente, il 20 marzo 2023, ha permesso ad alcuni utenti di visualizzare brevi descrizioni delle conversazioni di altri utenti dalla barra laterale della cronologia delle chat, inducendo l’azienda a chiudere temporaneamente il chatbot.

Effetti causati dal bug su Redis

L’azienda ha dichiarato:

Il bug di ChatGBT ha avuto origine nella libreria Redis-py, portando ad uno scenario in cui le richieste annullate potevano causare la corruzione delle connessioni e restituire dati inaspettati dalla cache del database, in questo caso informazioni appartenenti a un utente non collegato.

In più, la società di ricerca sull’intelligenza artificiale con sede a San Francisco ha dichiarato di aver introdotto per errore una modifica sul lato server che ha portato a un aumento delle cancellazioni delle richieste, incrementando così il tasso di errore.

Sebbene sia stato risolto, OpenAI ha osservato che il problema potrebbe aver avuto maggiori implicazioni altrove, rivelando potenzialmente le informazioni relative al pagamento dell’1,2% degli abbonati a ChatGPT Plus il 20 marzo tra l’1 e le 10 del mattino.

Queste informazioni includevano i dati anagrafici e le ultime quattro cifre di un numero di carta di credito. L’azienda ha sottolineato che non era possibile visualizzare i numeri completi delle carte di credito .

L’azienda ha dichiarato di aver contattato gli utenti interessati per informarli della perdita involontaria.

Ha sottolineato, inoltre, di aver aggiunto controlli ridondanti per garantire che i dati restituiti dalla cache Redis corrispondessero all’utente richiedente.

OpenAI corregge una falla critica nell’acquisizione dell’account

In aggiunta, in un altro problema legato alla cache, l’azienda ha anche risolto una vulnerabilità critica di acquisizione dell’account che gli utenti potevano sfruttare per prendere il controllo dell’account di un altro utente, visualizzare la cronologia delle chat e accedere alle informazioni di fatturazione a sua insaputa.

Grazie al ricercatore di sicurezza Gal Nagli che ha scoperto la falla per aggirare le protezioni che OpenAI sviluppa su chat.openai[.]com per leggere i dati sensibili della vittima.

Ciò avviene creando un link che aggiunge una risorsa .CSS all’endpoint “chat.openai[.]com/api/auth/session/” e inducendo una vittima a cliccare sul link.

E questo per far sì che la risposta contenente un oggetto JSON con la stringa accessToken venga memorizzata nella cache del CDN di Cloudflare.

L’aggressore sfrutta la risposta in cache alla risorsa CSS per raccogliere le credenziali JSON Web Token (JWT) dell’obiettivo e assumere il controllo dell’account.

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *