Una falla en una biblioteca de código abierto fue la causa de una interrupción que ocurrió a principios de esta semana en el servicio ChatGPT, según la divulgación de OpenAI. Debido a la falla, algunos usuarios pudieron leer títulos del historial de chat de otros usuarios actuales y, en algunos casos, pudieron ver el primer mensaje de una discusión que acababa de comenzar. Como consecuencia directa de esto, OpenAI eliminó ChatGPT para solucionar el problema. La falla se solucionó y el servicio ChatGPT volvió a estar en línea, junto con la funcionalidad que permite a los usuarios ver su historial de conversaciones, con la excepción de las horas de datos más recientes.
Sin embargo, después de investigar más, OpenAI reveló que la misma falla puede haber sido responsable de hacer pública la información relacionada con el pago del 1.2% de los clientes de ChatGPT Plus para otros usuarios. Esta información constaba de los últimos cuatro dígitos de un número de tarjeta de crédito, una dirección de correo electrónico, una dirección de pago y la fecha de vencimiento de la tarjeta de crédito. Por otro lado, los números completos de tarjetas de crédito nunca se hicieron públicos de ninguna manera.
OpenAI ha llegado a la conclusión de que la cantidad de personas cuyos datos se compartieron realmente con un tercero es muy marginal. Para tener acceso a esta información, un cliente de ChatGPT Plus tendría que ver un correo electrónico de confirmación de suscripción que se entregó el 20 de marzo entre la 1 a. m. y las 10 a. suscripción”, dentro del mismo intervalo de tiempo.
OpenAI se comunicó con los usuarios afectados para informarles sobre la situación y les aseguró que sus datos no corren más peligro. La empresa otorga una alta prioridad a garantizar la privacidad y seguridad de los datos de sus usuarios y ha expresado su pesar por no haber podido cumplir su promesa de preservar la confidencialidad de sus clientes. OpenAI se compromete a restaurar la confianza de los usuarios en la organización y seguirá tomando medidas para mejorar sus procesos.
La falla se encontró en la versión de código abierto de la biblioteca cliente de Redis conocida como redis-py. Tan pronto como OpenAI se dio cuenta de que había un problema, se comunicaron con las personas que mantienen Redis y les proporcionaron una solución en forma de parche. Se descubrió que el cliente Asyncio redis-py para Redis Cluster tenía un problema, y ese problema ahora se resolvió.
Por otro lado, un investigador de seguridad diferente llamado Nagali descubrió una vulnerabilidad de toma de control de cuenta crítica en la aplicación OpenAI ChatGPT. Esta falla le dio a un atacante la capacidad de tomar el control de la cuenta de otro usuario, ver su información de facturación y acceder a su historial de chat sin el conocimiento del usuario. Desde entonces, el equipo de OpenAI solucionó este problema y expresaron su agradecimiento al investigador por habérselo revelado de manera responsable.
Una investigación realizada por un investigador de seguridad sobre el flujo de autenticación en las solicitudes de ChatGPT condujo al descubrimiento de un comportamiento inusual en la solicitud GET, lo que llevó al investigador a informar sobre la vulnerabilidad. El investigador pudo aprovechar el “engaño de caché web” ya que la solicitud recopiló el contexto de la cuenta del servidor. Este contexto incluía la dirección de correo electrónico, el nombre, la imagen y el token de acceso del investigador.
Una vulnerabilidad conocida como “engaño de caché web” es aquella que permite a un adversario manipular los servidores de caché web para almacenar información confidencial dentro de una respuesta almacenada en caché. Un atacante puede engañar al servidor de caché para que mantenga datos confidenciales mediante la construcción de una solicitud particular con una extensión de archivo modificada, que luego se puede leer en un momento posterior. Esto permite que el atacante obtenga acceso a los datos.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.