Première fuite de données personnelles pour ChatGPT

La panne majeure vécue par ChatGPT le 20 mars cachait également une fuite de données personnelles d’utilisateurs pour OpenAI.

Avec des millions d’utilisateurs, il aurait été étonnant que des pirates ne s’intéressent pas à ChatGPT d’OpenAI. La violation s’est produite lors de la première importante panne de l’outil, le 20 mars [ZATAZ vous en a parlé dans la cyber émission sur Twitch du 20 mars]. Une panne qui a été bien plus loin que la perte, par exemple, des stockages des demandes des utilisateurs et des clients.

Le problème a révélé des informations liées au paiement et d’autres données personnelles de 1,2 % des abonnés ChatGPT Plus. Une fuite active pendant une fenêtre spécifique de neuf heures.

« Dans les heures qui ont précédé la mise hors ligne de ChatGPT lundi, il était possible pour certains utilisateurs de voir le prénom et le nom, l’adresse e-mail, l’adresse de paiement, les quatre derniers chiffres (uniquement) d’un numéro de carte de crédit et la carte de crédit d’un autre utilisateur actif, ainsi que la date d’expiration. Les numéros de carte de crédit complets n’ont été exposés à aucun moment », ont écrit les responsables d’OpenAI.

Bref, pas besoin d’être TikTok face au Congrès américain pour parler de fuite de données personnelles. Un bug suffit!

Un bug open-source conduit à la fuite

Pourquoi OpenAI a-t-il mis ChatGPT hors ligne en premier lieu? Les responsables ont déclaré avoir trouvé un bug dans une bibliothèque open-source, qui permettait à certains utilisateurs de voir les titres de l’historique de discussion d’un autre utilisateur actif. « Il est également possible que le premier message d’une conversation nouvellement créée soit visible dans l’historique de discussion de quelqu’un d’autre si les deux utilisateurs étaient actifs à peu près au même moment », ont déclaré des responsables d’OpenAI.

La société a corrigé le bug et a signalé les détails techniques de ce problème. Cependant, lorsque la société a corrigé le bug, c’est à ce moment-là qu’elle a découvert que le même bug pouvait avoir causé la violation de plus de données personnelles.

Le nombre de personnes exposées est « extrêmement faible« 

Combien de données personnelles de personnes ont été exposées ? OpenAI affirme que le nombre d’utilisateurs dont les données ont été réellement révélées à un autre internaute « est extrêmement faible« . Pourquoi ? Les abonnés ChatGPT Plus devaient effectuer l’une des opérations suivantes pour finir dans la fuite.

Dans un premier cas, il fallait ouvrir un courriel de confirmation d’abonnement envoyé le lundi 20 mars entre 1 h et 10 h. En raison du bogue, certains courriers électroniques de confirmation d’abonnement générés pendant cette période ont été envoyés aux mauvais utilisateurs. Ces e-mails contenaient les quatre derniers chiffres du numéro de carte de crédit d’un autre utilisateur, mais les numéros de carte de crédit complets n’apparaissaient pas. Il est possible qu’un petit nombre d’e-mails de confirmation d’abonnement aient été mal adressés avant le 20 mars, bien que nous n’en ayons confirmé aucun cas.

Dans un autre cas, dans ChatGPT, il fallait cliquer sur « Mon compte », puis sur « Gérer mon abonnement » entre 1 h et 10 h, heure du Pacifique, le lundi 20 mars. Pendant ce lapse de temps, le prénom et le nom, l’adresse e-mail, l’adresse de paiement, les quatre derniers chiffres (uniquement) d’un numéro de carte de crédit et la date d’expiration de la carte de crédit pouvaient être visibles. « Il est possible que cela se soit également produit avant le 20 mars, bien que nous n’en ayons confirmé aucun cas. Indique OpenAI. Nous avons contacté les utilisateurs concernés pour les informer que leurs informations de paiement pourraient avoir été exposées. Nous sommes convaincus qu’il n’y a aucun risque permanent pour les données des utilisateurs« .