Na última semana, os servidores do ChatGPT foram desligados por conta de uma vulnerabilidade de segurança. O OpenAI, empresa responsável pelo ChatGPT, confirmou a operação. A ação foi necessária por conta do vazamento de dados sensíveis de usuários, incluindo histórico de conversas e informações sobre meios de pagamento.
Leia mais: ChatGPT acelera planos de governos para regular a inteligência artificial
A violação de dados ocorreu, em síntese, por conta de um bug em uma biblioteca de código aberto.
Consequências
Segundo investigação conduzida pela própria OpenAI, informações como títulos do histórico de bate-papo dos usuários ativos e a primeira conversa recém-criada foram expostos na violação de dados. Além disso, informações de pagamento de 1,2% dos assinantes do ChatGPT Plus também vazaram. Neste contexto, estavam dados como nome e sobrenome, e-mail, endereço, data de validade e os quatro dígitos do número do cartão do cliente.
Em suma, a exposição dos dados ocorreu em uma janela de nove horas. Contudo, a empresa afirmou que acredita que não há risco contínuo de novos vazamentos.
Providências
A OpenAI alega ter adotado as seguintes ações para minimizar os danos:
- Testes para correção do bug;
- A empresa adicionou verificações que garantem que os dados do cache Redis correspondam ao usuário que solicitou a ação;
- Os logs passaram, por exemplo, por avaliação que garante que as mensagens estejam disponíveis apenas para o usuário correto;
- Aprimoramento de registros e mais robusteza para redução da probabilidade de erros de conexão em cargas extremas.
Alerta de segurança
A GreyNoise, empresa de inteligência de ameaças, emitiu um alerta sobre um novo recurso do ChatGPT. Isso porque, ele aumenta o processo de coleta de informações do chatbot por meio de plug-ins. Nesse sentido, a empresa apontou que o código do OpenAI ofertado aos clientes que querem usar plug-ins com o novo recurso incluem uma imagem afetada por vulnerabilidade.
Por fim, a GreyNoise aponta que essa vulnerabilidade do ChatGPT vem sendo explorada de forma ativa. Eles alegam que, quando os invasores tentam uma identificação em massa e exploração dos serviços vulneráveis, tudo está no escopo, inclusive plug-ins implantados na versão desatualizada do MinIO.