Lỗi thư viện mã nguồn mở Redis là nguyên nhân gây ra sự cố rò rỉ dữ liệu ChatGPT tuần trước.
Sự cố xảy ra ngày 20/3/2023, dẫn tới việc nhiều người dùng ChatGPT nhìn thấy các mô tả ngắn gọn về cuộc trò chuyện của những người dùng khác trong thanh lịch sử trò chuyện của họ. Ngay sau đó, OpenAI đã xóa thanh lịch sử trò chuyện và tạm ngừng dịch vụ để khắc phục sự cố.
Công ty cho biết nguyên nhân của vụ việc do một lỗi trong thư viện mã nguồn mở của Redis client, được gọi là redis-py. Dịch vụ sử dụng Redis để lưu trữ thông tin người dùng trong máy chủ. OpenAI sử dụng thư viện redis-py để kết nối với Redis từ máy chủ Python, chạy với Asyncio.
Vào ngày 20/3, một công ty nghiên cứu AI của OpenAI có trụ sở tại San Francisco đã nhầm lẫn đưa ra một thay đổi đối với máy chủ dẫn đến số lần hủy yêu cầu Redis tăng đột biến. Các yêu cầu bị hủy có thể khiến các kết nối bị hỏng và trả về dữ liệu không mong muốn từ bộ nhớ cache của cơ sở dữ liệu, trong trường hợp này là thông tin thuộc về những người dùng khác.
Nghiêm trọng hơn, vụ việc có thể tiết lộ thông tin liên quan đến thanh toán của 1,2% số người đăng ký ChatGPT Plus vào ngày 20/3. Cụ thể, nếu người dùng thực hiện mở email xác nhận đăng ký hoặc nhấp vào “Tài khoản của tôi”, sau đó nhấp vào “Quản lý đăng ký của tôi” trong ChatGPT trong khoảng thời gian từ 1 giờ đến 10 giờ sáng theo giờ Thái Bình Dương ngày 20/3 rất có thể đã bị lộ thông tin thanh toán gồm: họ tên, email, địa chỉ thanh toán, 4 chữ số cuối thẻ tín dụng và ngày hết hạn thẻ tín dụng.
OpenAI đã khắc phục sự cố và đang liên hệ với tất cả người dùng có thông tin bị lộ. Ngoài ra, công ty cũng bổ sung các kiểm tra dự phòng để đảm bảo dữ liệu được trả về bởi bộ đệm Redis khớp với người dùng yêu cầu.
Nguồn: Thehackernews, Bleepingcomputer