Theo The Hacker News, ự cố xảy ra ngày 20/3 cho phép vài người dùng xem được mô tả ngắn gọn về cuộc trò chuyện của những người khác từ thanh lịch sử trò chuyện. Vụ việc đã buộc OpenAI phải tạm thời đóng chatbot này lại.
Công ty cho rằng có khả năng tin nhắn đầu tiên của cuộc trò chuyện mới (với ChatGPT) đã hiển thị trong lịch sử trò chuyện của người khác trong trường hợp cả hai người dùng đều hoạt động cùng lúc.
Lỗi này bắt nguồn từ thư viện redis-py, dẫn đến việc các yêu cầu bị hủy làm kết nối bị hỏng và trả về dữ liệu không mong muốn từ bộ đệm của cơ sở dữ liệu, trong trường hợp này là thông tin thuộc về một người dùng khác.
Điểm đáng chú ý là OpenAI đã nhầm lẫn khi thay đổi phía máy chủ dẫn đến lượng yêu cầu bị hủy tăng đột biến, từ đó làm tăng tỷ lệ lỗi. Dù đã giải quyết, công ty cho rằng sự cố có thể có tác động nhiều hơn ở nơi khác, từ đó có khả năng tiết lộ thông tin liên quan đến thanh toán của 1,2% lượng người đăng ký ChatGPT Plus vào ngày 20/3 trong khoảng từ 8 - 17 giờ (giờ Việt Nam).
Thông tin bị lộ bao gồm họ tên, địa chỉ email, địa chỉ thanh toán, bốn chữ số cuối của số thẻ tín dụng và ngày hết hạn của thẻ. OpenAI nhấn mạnh số thẻ tín dụng đầy đủ không bị lộ. Công ty nói đã liên hệ với những người dùng bị ảnh hưởng để thông báo về vụ rò rỉ, đồng thời cũng cho biết đã thêm các kiểm tra dự phòng để đảm bảo dữ liệu được trả về bởi bộ đệm Redis khớp với yêu cầu từ người dùng.
Trước đó, OpenAI cũng đã khắc phục lỗ hổng nghiêm trọng chỉ trong 2 giờ sau khi nhận được báo cáo. Lỗ hồng này được gửi bởi một chuyên gia bảo mật, cho phép vượt qua các biện pháp bảo vệ do OpenAI đưa ra để đọc dữ liệu nhạy cảm của nạn nhân. Người phát hiện lỗ hổng cho biết nếu bị khai thác, tin tặc có thể chiếm quyền kiểm soát tài khoản của người dùng, xem lịch sử trò chuyện và truy cập thông tin thanh toán mà nạn nhân không hề hay biết.