Brecha de datos de ChatGPT expone información de usuarios

El creador de ChatGPT, OpenAI, confirmó una violación de datos causada por un error en una biblioteca de código abierto, justo cuando una empresa de ciberseguridad notó que un componente introducido recientemente se ve afectado por una vulnerabilidad explotada activamente. OpenAI dijo el viernes que había desconectado el chatbot a principios de semana mientras trabajaba […]

El creador de ChatGPT, OpenAI, confirmó una violación de datos causada por un error en una biblioteca de código abierto, justo cuando una empresa de ciberseguridad notó que un componente introducido recientemente se ve afectado por una vulnerabilidad explotada activamente.

OpenAI dijo el viernes que había desconectado el chatbot a principios de semana mientras trabajaba con los mantenedores de la plataforma de datos Redis para reparar una falla que resultó en la exposición de la información del usuario.

El problema estaba relacionado con el uso de ChatGPT de Redis-py, una biblioteca cliente de Redis de código abierto, y fue introducido por un cambio realizado por OpenAI el 20 de marzo.

Los desarrolladores del chatbot usan Redis para almacenar en caché la información del usuario en su servidor, para evitar tener que verificar la base de datos para cada solicitud. La biblioteca Redis-py sirve como una interfaz de Python.

El error introducido por OpenAI hizo que a los usuarios de ChatGPT se les mostraran datos de chat que pertenecen a otros.

Según la investigación de OpenAI, los títulos del historial de chat de los usuarios activos y el primer mensaje de una conversación recién creada quedaron expuestos en la violación de datos. El error también expuso información relacionada con el pago perteneciente al 1,2 % de los suscriptores de ChatGPT Plus, incluido el nombre y apellido, la dirección de correo electrónico, la dirección de pago, la fecha de vencimiento de la tarjeta de pago y los últimos cuatro dígitos del número de tarjeta del cliente.

Es posible que esta información se haya incluido en los correos electrónicos de confirmación de suscripción enviados el 20 de marzo y también se haya mostrado en la página de administración de suscripciones en las cuentas de ChatGPT el mismo día. OpenAI ha confirmado que la información estuvo expuesta durante un período de nueve horas el 20 de marzo, pero admitió que la información también puede haberse filtrado antes del 20 de marzo.

“Nos hemos comunicado para notificar a los usuarios afectados que su información de pago puede haber sido expuesta. Estamos seguros de que no existe un riesgo continuo para los datos de los usuarios”, dijo OpenAI en una publicación de blog.

La publicación del blog describe los detalles técnicos del problema y la acción tomada por la empresa en respuesta.

Este no fue el único problema de seguridad de ChatGPT que salió a la luz la semana pasada. También el viernes, la empresa de inteligencia de amenazas GreyNoise emitió una advertencia sobre una nueva función de ChatGPT que amplía las capacidades de recopilación de información del chatbot mediante el uso de complementos.

GreyNoise notó que los ejemplos de código proporcionados por OpenAI a los clientes interesados en integrar sus complementos con la nueva función incluyen una imagen acoplable para el sistema de almacenamiento de objetos distribuidos MinIO.

La versión de la imagen acoplable utilizada en el ejemplo de OpenAI, versión 2022-03-17, está afectada por CVE-2023-28432, una vulnerabilidad de divulgación de información potencialmente grave. El agujero de seguridad se puede aprovechar para obtener claves secretas y contraseñas de root y GreyNoise ya ha visto intentos de explotar la vulnerabilidad en la naturaleza.

“Si bien no tenemos información que sugiera que algún actor específico esté apuntando a instancias de ejemplo de ChatGPT, hemos observado que esta vulnerabilidad se explota activamente en la naturaleza. Cuando los atacantes intentan la identificación masiva y la explotación masiva de servicios vulnerables, ‘todo’ está al alcance, incluidos los complementos de ChatGPT implementados que utilizan esta versión obsoleta de MinIO”, advirtió la empresa de seguridad.