H A R D L I N K

Por favor, espera para la carga completa. Cloudflare Protect.

OPENAI REVELA UN ERROR DE REDIS DETRÁS DEL INCIDENTE DE EXPOSICIÓN DE DATOS DE USUARIOS DE CHATGPT - Seguridad de la Información

    Está Vd. Aqui
  • Inicio
  • Blog Sin Categoria OPENAI REVELA UN ERROR DE REDIS DETRÁS DEL INCIDENTE DE EXPOSICIÓN DE DATOS DE USUARIOS DE CHATGPT

OPENAI REVELA UN ERROR DE REDIS DETRÁS DEL INCIDENTE DE EXPOSICIÓN DE DATOS DE USUARIOS DE CHATGPT

19/04/2023 Editor Comments Off

OpenAI reveló el viernes que un error en la biblioteca de código abierto de Redis fue responsable de la exposición de la información personal de otros usuarios y los títulos de chat en el servicio ChatGPT del advenedizo a principios de esta semana.

La falla, que salió a la luz el 20 de marzo de 2023, permitió a ciertos usuarios ver breves descripciones de las conversaciones de otros usuarios desde la barra lateral del historial de chat, lo que llevó a la compañía a cerrar temporalmente el chatbot.

«También es posible que el primer mensaje de una conversación recién creada fuera visible en el historial de chat de otra persona si ambos usuarios estaban activos al mismo tiempo», dijo la compañía.

El error, agregó, se originó en la biblioteca redis-py, lo que lleva a un escenario en el que las solicitudes canceladas podrían dañar las conexiones y devolver datos inesperados de la caché de la base de datos, en este caso, información perteneciente a un usuario no relacionado.

Para empeorar las cosas, la compañía de investigación de IA con sede en San Francisco dijo que introdujo un cambio en el lado del servidor por error que condujo a un aumento en las cancelaciones de solicitudes, aumentando así la tasa de error.

OpenAI

Si bien el problema se ha abordado desde entonces, OpenAI señaló que el problema puede haber tenido más implicaciones en otros lugares, revelando potencialmente información relacionada con el pago del 1.2% de los suscriptores de ChatGPT Plus el 20 de marzo entre la 1 y las 10 a.m. PT.

Esto incluía el nombre y apellido de otro usuario activo, dirección de correo electrónico, dirección de pago, los últimos cuatro dígitos (solo) de un número de tarjeta de crédito y la fecha de vencimiento de la tarjeta de crédito. Hizo hincapié en que los números completos de las tarjetas de crédito no estaban expuestos.

La compañía dijo que se ha comunicado con los usuarios afectados para notificarles de la fuga inadvertida. También dijo que «agregó comprobaciones redundantes para garantizar que los datos devueltos por nuestra caché de Redis coincidan con el usuario solicitante».

OpenAI corrige una falla crítica de adquisición de cuentas

En otro problema relacionado con el almacenamiento en caché, la compañía también abordó una vulnerabilidad crítica de adquisición de cuentas que podría explotarse para tomar el control de la cuenta de otro usuario, ver su historial de chat y acceder a la información de facturación sin su conocimiento.

La falla, que fue descubierta por el investigador de seguridad Gal Nagli, evita las protecciones implementadas por OpenAI en chat.openai[.] com para leer los datos confidenciales de una víctima.

Esto se logra creando primero un vínculo especialmente diseñado que anexa un archivo . Recurso CSS al «chat.openai[.] com/api/auth/session/» y engañar a una víctima para que haga clic en el enlace, haciendo que la respuesta que contiene un objeto JSON con la cadena accessToken se almacene en caché en la CDN de Cloudflare.

El atacante abusa de la respuesta en caché al recurso CSS (que tiene el valor del encabezado CF-Cache-Status establecido en HIT) para recopilar las credenciales JSON Web Token (JWT) del objetivo y hacerse cargo de la cuenta.

Nagli dijo que el error fue corregido por OpenAI dentro de las dos horas posteriores a la divulgación responsable, lo que indica la gravedad del problema.

Fuente y redacción: underc0de.org

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad