Redis開源庫漏洞引發(fā)ChatGPT支付數(shù)據(jù)泄露。

事件回顧

3月20日，多名ChatGPT訂閱用戶稱在其訂閱頁面看到了其他用戶的郵箱地址。

圖 推特原文

隨后，OpenAI將ChatGPT下線并調(diào)查了這一問題，但并未說明ChatGPT停止服務的原因。

圖 ChatGPT停止服務期間的狀態(tài)信息

數(shù)據(jù)泄露后的開源庫漏洞

3月24日，OpenAI發(fā)布報告稱發(fā)生這一意外事件的原因是Redis客戶端開源庫redis-py中存在漏洞，引發(fā)ChatGPT暴露了其他用戶的聊天會話查詢和個人信息，大約有1.2%的ChatGPT Plus訂閱用戶受到影響。暴露的信息包括訂閱用戶姓名、郵件地址、支付地址、信用卡后四位數(shù)字和信用卡過期日期。

OpenAI稱，該問題發(fā)生的時間窗口為9小時。在ChatGPT停止服務之前的9個小時，部分用戶可能可以看到其他用戶的姓名、郵箱地址、支付地址等信息，但信用卡號并未完全暴露。OpenAI認為數(shù)據(jù)泄露的影響用戶非常少，因為需要進行特定步驟才可以看到這些信息，包括：

打開在3月20日1點-10點之間發(fā)送的訂閱確認郵件；

在ChatGPT中，點擊我的賬戶—>管理我的訂閱。

OpenAI發(fā)現(xiàn)該安全問題后，已與Redis維護人員取得聯(lián)系，并發(fā)布了補丁來修復該安全漏洞。OpenAI稱已聯(lián)系了所有個人支付信息暴露的ChatGPT用戶。

本文翻譯自：https://www.bleepingcomputer.com/news/security/openai-chatgpt-payment-data-leak-caused-by-open-source-bug/