OpenAIは、ユーザーがシステムのバグにより、他のユーザーのチャット履歴を閲覧することが可能になったため、ChatGPTボットを緊急メンテナンスのためオフラインにすることを余儀なくされた。そして金曜日に同社は、この事件から得られた最初の調査結果を発表したが。それによると、このバグにはチャット履歴が閲覧できただけではない深刻な面がある事も明らかになった。
今回の事件では、ユーザーがRedditやTwitterに投稿したスクリーンショットで、ChatGPTのサイドバーに他のユーザーの過去のチャット履歴が表示されていた事が明らかになった。テキストそのものではなく、会話のタイトルのみが表示されていた。これを受けてOpenAIは、調査のためにボットを10時間近くオフラインにした。その結果、このチャット履歴のバグによって、ChatGPT Plus(月額20ドルの拡張アクセスパッケージ)加入者の1.2パーセントの個人情報が流出する可能性があったとのことだ。
さらに調査を進めると、同じバグにより、特定の9時間の間にアクティブだったChatGPT Plus加入者の1.2%の支払い関連情報が意図せず表示された可能性があることも判明しました。月曜日にChatGPTをオフラインにするまでの数時間、一部のユーザーが他のアクティブユーザーの姓名、メールアドレス、支払い先、クレジットカード番号の下4桁(のみ)、クレジットカードの有効期限を見ることが可能だったのです。なお、完全なクレジットカード番号が流出することはありませんでした。
同社は、このような侵害が発生する可能性を軽視しており、ユーザーが危険にさらされるには、以下のいずれかの基準を満たす必要があるとしている。
- 3月20日(月)午前1時~午前10時(太平洋時間)に送信された購読確認メールを開いてください。このバグのために、そのウィンドウの間に生成されたいくつかの購読確認メールが、間違ったユーザーに送信されました。これらのメールには、他のユーザーのクレジットカード番号の下4桁が含まれていましたが、完全なクレジットカード番号は表示されていませんでした。3月20日以前に、少数の購読確認メールが誤って送信された可能性がありますが、そのような例は確認されていません。
- ChatGPTで、3月20日(月)太平洋時間の午前1時から午前10時の間に、「マイアカウント」→「サブスクリプションの管理」の順にクリックします。このウィンドウの間に、他のアクティブなChatGPT Plusユーザーの姓名、メールアドレス、支払い先住所、クレジットカード番号の下4桁(のみ)、クレジットカードの有効期限が表示されていた可能性があります。また、3月20日以前にも発生していた可能性がありますが、そのような事例は確認されていません。
同社は、今後の再発防止策として、“ライブラリ呼び出しへの冗長なチェックの追加”、“すべてのメッセージが正しいユーザーにのみ利用可能であることを確認するためのログをプログラム的に調査”、“この現象がいつ起きているかを特定し、停止したことを完全に確認するためのログの改善”などを追加で行っている。また、影響を受けるユーザーには、この問題について注意喚起を行うよう連絡したとのことだ。
Source
コメントを残す