OpenAI reveló nuevos detalles el lunes sobre por qué desconectó ChatGPT. La compañía señaló que durante este tiempo, la información de pago de algunos usuarios pudo haber estado expuesta a otros durante el incidente.
Según el comunicado de la compañía, un error en una biblioteca de código abierto llamada redis-py podría hacer que los usuarios activos vean los últimos cuatro dígitos de la tarjeta de crédito de otro usuario, la fecha de vencimiento, el nombre y apellido, la dirección de correo electrónico y la dirección de pago. Los usuarios también pueden haber visto fragmentos de los historiales de chat de otras personas.
OpenAI afirma que la fuga de información de pago puede haber afectado a alrededor del 1,2 por ciento de los usuarios de ChatGPT Plus que utilizaron el servicio entre las 12:00 y las 21:00 horas del 20 de marzo.
Según OpenAI, dos escenarios pueden hacer que los datos de pago estén expuestos a un usuario no autorizado. Usuarios dentro del período de tiempo especificado. Mi cuenta > Administrar suscripción pantalla, puede ver la información de otro usuario de ChatGPT Plus que actualmente está usando el servicio. Además, la compañía dice que algunos correos electrónicos de confirmación de suscripción enviados durante el incidente fueron enviados a la persona equivocada e incluían los últimos cuatro dígitos del número de tarjeta de crédito de un usuario.
La compañía dice que este tipo de cosas pueden haber sucedido antes del día 20, pero no ha recibido confirmación de que haya sucedido antes. OpenAI ha llegado a los usuarios cuya información de pago puede ser divulgada.
En cuanto a cómo sucedió todo esto, el problema fue con el almacenamiento en caché. La empresa utiliza un software llamado Redis para almacenar en caché la información del usuario. En determinadas circunstancias, una solicitud de Redis anulada devolvería datos corruptos para una solicitud diferente (lo que no debería haber ocurrido). Por lo general, la aplicación recibe estos datos, dice «esto no es lo que quiero» e informa un error.
No obstante, cuando la otra persona solicite el mismo tipo de datos; por ejemplo, cuando intentaron cargar la página de la cuenta y los datos eran la información de la cuenta de otra persona, la aplicación decidiría que todo estaba bien y se los mostraría.
Es por eso que la gente estaba viendo la información de pago y los historiales de chat de otros usuarios; estaban recibiendo datos de caché que necesitaban ir a otra persona debido a una solicitud cancelada. Esto solo afectó a los usuarios activos. Los datos de aquellos que no usaron la aplicación no se almacenarían en caché.
En la mañana del 20 de marzo, un cambio en el servidor de OpenAI había aumentado las posibilidades de que el caché defectuoso volviera a otros, junto con el aumento de las solicitudes de Redis canceladas.
OpenAI dice que el error que aparece en una versión particular de Redis ahora se ha solucionado y que las personas que trabajan en el proyecto son «grandes colaboradores». Además, la compañía afirma que realizará algunos cambios en su propio software y aplicaciones para evitar que vuelvan a ocurrir este tipo de incidentes. Estos cambios incluyen la adición de «comprobaciones adicionales» para garantizar que los datos entregados pertenezcan al usuario que los solicitó y la reducción de las posibilidades de que el clúster de Redis falle bajo cargas elevadas.
Argumentando que tales controles deberían haber estado allí desde el principio, es bueno que OpenAI los haya agregado ahora. El software de código abierto es indispensable para la web moderna, pero presenta algunos desafíos propios. Debido a que cualquiera puede usarlo, los errores pueden afectar a múltiples servicios y empresas a la vez. Además, si un actor malintencionado sabe qué software está usando una empresa en particular, puede intentar crear una vulnerabilidad a propósito al apuntar a ese software. Si bien existen controles que dificultan esto, como lo han demostrado empresas como Google, es mejor trabajar para asegurarse de que no suceda y estar preparado cuando suceda.