OpenAI’nin açıklamasına göre, ChatGPT hizmetinde bu hafta başlarında meydana gelen bir kesintinin nedeni açık kaynak kitaplığındaki bir kusurdu. Kusur nedeniyle, bazı kullanıcılar mevcut diğer kullanıcıların sohbet geçmişindeki başlıkları okuyabildi ve bazı durumlarda yeni başlayan bir tartışmanın ilk mesajını görebildiler. Bunun doğrudan bir sonucu olarak OpenAI, sorunu çözmek için ChatGPT’yi devre dışı bıraktı. Kusur düzeltildi ve ChatGPT hizmeti, kullanıcıların en son birkaç saatlik veriler dışında konuşma geçmişlerini görmelerine olanak tanıyan işlevsellikle birlikte tekrar çevrimiçi hale getirildi.
Bununla birlikte, daha fazla araştırma yaptıktan sonra OpenAI, ChatGPT Plus müşterilerinin %1,2’sinin ödemeyle ilgili bilgilerinin diğer kullanıcılara açık hale getirilmesinden aynı kusurun sorumlu olabileceğini ortaya çıkardı. Bu bilgiler, bir kredi kartı numarasının son dört hanesi, bir e-posta adresi, bir ödeme adresi ve kredi kartının son kullanma tarihinden oluşuyordu. Öte yandan, kredi kartı numaralarının tamamı hiçbir şekilde kamuoyuna açıklanmadı.
OpenAI, verileri gerçekten üçüncü bir tarafla paylaşılan insan sayısının çok marjinal olduğu sonucuna varmıştır. Bir ChatGPT Plus müşterisinin bu bilgilere erişebilmesi için ya 20 Mart’ta Pasifik saatiyle 01:00 ile 10:00 arasında gönderilen bir abonelik onay e-postasını görüntülemesi ya da “Hesabım”a ve ardından “Hesabımı değiştir”e tıklaması gerekirdi. abonelik,” aynı zaman aralığında.
OpenAI, etkilenen kullanıcılara durum hakkında bilgi vermek için ulaştı ve verilerinin daha fazla tehlikede olmadığına dair güvence verdi. Firma, kullanıcılarının verilerinin gizliliğini ve güvenliğini sağlamaya yüksek öncelik vermektedir ve müşterilerinin gizliliğini koruma sözünü yerine getiremediği için üzüntüsünü dile getirmiştir. OpenAI, kullanıcıların kuruluşa olan güvenini geri kazanmaya kararlıdır ve süreçlerini geliştirmek için adımlar atmaya devam edecektir.
Kusur, redis-py olarak bilinen Redis istemci kitaplığının açık kaynaklı sürümünde bulundu. OpenAI bir sorun olduğunu fark eder etmez, Redis’i sürdüren kişilerle iletişime geçti ve onlara bir yama şeklinde bir düzeltme sağladı. Redis Kümesi için Asyncio redis-py istemcisinde bir sorun olduğu keşfedildi ve bu sorun şimdi çözüldü.
Öte yandan Nagali isimli farklı bir güvenlik araştırmacısı, OpenAI ChatGPT uygulamasında kritik bir hesap ele geçirme açığı keşfetti. Bu kusur, bir saldırgana kullanıcının bilgisi olmadan başka bir kullanıcının hesabının kontrolünü ele geçirme, fatura bilgilerini görüntüleme ve sohbet geçmişlerine erişme yeteneği verdi. O zamandan beri, OpenAI ekibi bu sorunu düzeltti ve araştırmacıya sorunu sorumlu bir şekilde ifşa ettiği için minnettarlıklarını ifade ettiler.
Bir güvenlik araştırmacısı tarafından ChatGPT’nin isteklerindeki kimlik doğrulama akışına yönelik bir araştırma, GET isteğinde olağandışı bir davranışın keşfedilmesine yol açtı ve bu da araştırmacının güvenlik açığını bildirmesine neden oldu. Araştırmacı, istek sunucudan hesap içeriğini topladığı için “Web Önbelleği Aldatmacasından” yararlanabildi. Bu bağlam, araştırmacının e-posta adresini, adını, resmini ve erişim belirtecini içeriyordu.
“Web Önbelleği Aldatmacası” olarak bilinen bir güvenlik açığı, bir saldırganın hassas bilgileri önbelleğe alınmış bir yanıt içinde depolamak için web önbellek sunucularını manipüle etmesine olanak tanıyan bir güvenlik açığıdır. Saldırgan, daha sonra okunabilecek değiştirilmiş bir dosya uzantısıyla belirli bir istek oluşturarak önbellek sunucusunu hassas verileri tutması için kandırabilir. Bu, saldırganın verilere erişmesini sağlar.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.