在 3 月 20 日,ChatGPT 服务不可用。3 月 24 日,ChatGPT 公告服务不可用是由于使用第三方库 redis-py 导致的。
可能导致 1.2% 的 ChatGPT Plus 订阅者在特定的 9 小时窗口内处于活跃状态,从而无意中看到了与支付相关的信息。在周一我们关闭 ChatGPT 之前的几个小时内,一些用户可能会看到另一个活跃用户的名字和姓氏、电子邮件地址、支付地址、信用卡号的最后四位(仅)和信用卡到期时间日期。ChatGPT 说不会暴露完整的信用卡号码。
简单的说, 用户可能会在 3 月 20 日收到错误的邮件信息,导致信息泄露。OpenAI 已联系受影响的用户并通知他们的付款信息可能已被泄露。
导致触发这个事故的原因是什么?
泄露的原因是由于 redis-py 库导致的,使用了 Asyncio 模式,且没有对用户做鉴权判断,导致在 redis cluster 模式下触发了这个漏洞。redis-py 也在 3 天前修复了这个漏洞。
信息泄露会导致什么影响?
在欧洲,根据GDPR(General Data Protection Regulation,即《通用数据保护条例》),当数据泄露发生时,公司必须在72小时内将事件报告给相应的监管机构。如果泄露对个人权利和自由造成高风险,那么公司还需尽快告知受影响的个人。
在美国,各州针对数据泄露的报告时间规定不尽相同。一般而言,大部分州要求公司在发现数据泄露后尽快进行报告。有些州规定了具体的报告时间,例如加州要求在发现泄露后15天内上报。
截止到目前,并没有在网上找到针对这一次事件数据保护监管机构披露信息。
这个漏洞给我们带来什么启示?
- 信息安全是公司生命基线,需要在处理敏感信息的时候需要更好的安全编码。
- 检查一下是否使用到 redis-py 这个库,然后相对应的做版本升级。
欢迎大家针对这一事故留言,说出你的看法。