Cyberthreat.id – OpenAI mengungkapkan kerentanan pada ChatGPT kemungkinan telah mengungkap informasi terkait pembayaran dari beberapa pengguna, serta memungkinkan judul dari beberapa riwayat obrolan pengguna aktif untuk dilihat, OpenAI telah mengungkapkan.

Dikutip dari Info Security Magazine, dalam posting blog yang diterbitkan pada 24 Maret 2023, perusahaan memberikan rincian pelanggaran data yang disebabkan oleh bug di pustaka sumber terbuka, yang memaksa ChatGPT untuk sementara offline pada Senin 20 Maret. Setelah memperbaiki kerentanan, OpenAI dapat memulihkan layanan Chat GPT dan, kemudian, fitur riwayat obrolannya, dengan pengecualian riwayat beberapa jam.

Perusahaan, yang didirikan bersama oleh Twitter dan CEO Tesla Elon Musk, mengatakan bug tersebut kemungkinan telah menyebabkan visibilitas yang tidak disengaja dari informasi terkait pembayaran dari 1,2% pelanggan ChatGPT Plus yang aktif selama jendela sembilan jam.

Di jendela ini sebelum ChatGPT dijadikan offline pada 20 Maret, beberapa pengguna dapat melihat nama depan dan belakang pengguna aktif lainnya, alamat email, alamat pembayaran, empat digit terakhir nomor kartu kredit, dan tanggal kedaluwarsa kartu kredit. Namun, OpenAI menekankan bahwa nomor kartu kredit tidak diungkap.

“Jumlah pengguna yang datanya diekspos dengan cara ini sangat sedikit dan kami yakin tidak ada risiko berkelanjutan terhadap data pengguna,” kata perusahaan tersebut dalam keterangan resminya.

OpenAI mengakui bahwa masalah ini mungkin terjadi sebelum jendela sembilan jam ini, tetapi belum mengonfirmasi hal ini. Kerentanan ditemukan di pustaka sumber terbuka klien Redis, redis-py. Itu disebabkan oleh OpenAI yang secara tidak sengaja memperkenalkan perubahan ke servernya yang menyebabkan lonjakan pembatalan permintaan Redis, menciptakan kemungkinan kecil setiap koneksi menghasilkan data yang buruk.

“Pengembang AI chatbot menggunakan Redis untuk meng-cache informasi pengguna di server mereka, untuk menghindari keharusan memeriksa database untuk setiap permintaan,” kata perusahaan.

OpenAI meminta maaf atas pelanggaran tersebut dan menguraikan langkah-langkah yang telah diambil untuk meningkatkan sistemnya. Ini termasuk menambahkan pemeriksaan berlebihan untuk memastikan data yang dikembalikan oleh cache Redis cocok dengan pengguna yang meminta dan secara terprogram memeriksa lognya untuk memastikan bahwa semua pesan hanya tersedia untuk pengguna yang benar.

 “Semua orang di OpenAI berkomitmen untuk melindungi privasi pengguna kami dan menjaga keamanan data mereka. Ini adalah tanggung jawab yang kami anggap sangat serius. Sayangnya, minggu ini kami tidak memenuhi komitmen itu, dan harapan pengguna kami,” kata perusahaan.

Sejumlah masalah keamanan telah dikemukakan tentang ChatGPT setelah peluncuran chatbot yang dipublikasikan secara luas pada November 2022. Ini termasuk kekhawatiran bahwa itu akan digunakan untuk membuat malware dan kampanye phishing yang canggih saat teknologinya matang.