ChatGPT rò rỉ dữ liệu thông tin thanh toán của người dùng do lỗi mã nguồn mở Redis

08:00 | 28/03/2023 | AN TOÀN THÔNG TIN

OpenAI cho biết, lỗi thư viện mã nguồn mở Redis là nguyên nhân gây ra sự cố ngừng hoạt động ChatGPT và rò rỉ dữ liệu vừa qua, dẫn đến việc thông tin cá nhân và tiêu đề trò chuyện của người dùng bị lộ lọt.

ChatGPT rò rỉ dữ liệu thông tin thanh toán của người dùng do lỗi mã nguồn mở Redis

ChatGPT hiển thị lịch sử các truy vấn mà người dùng đã thực hiện trong thanh bên trái, cho phép nhấp vào một truy vấn và tạo lại phản hồi từ chatbot.

Sự cố xảy ra vào sáng ngày 20/3/2023, khi một số người dùng nhất định có thể xem các mô tả ngắn gọn về cuộc trò chuyện của những người dùng khác từ thanh bên lịch sử trò chuyện. Theo báo cáo đầu tiên của Tạp chí PCMag, nhiều người đăng ký ChatGPT Plus cũng cho biết đã nhìn thấy địa chỉ email của người khác trên các trang đăng ký của họ. Điều này khiến OpenAI phải tạm dừng hoạt động chatbot để điều tra nhưng chưa cung cấp chi tiết về nguyên nhân gây ra sự cố ngừng hoạt động.

Thông báo trạng thái khi ChatGPT ngừng hoạt động

OpenAI cho biết: “Cũng có thể tin nhắn đầu tiên của cuộc trò chuyện mới tạo đã hiển thị trong lịch sử trò chuyện của người khác, nếu cả hai người dùng đều hoạt động cùng một lúc”.

Lỗi thư viện nguồn mở đằng sau rò rỉ dữ liệu

OpenAI đã giải thích rằng một lỗi trong thư viện mã nguồn mở của ứng dụng khách Redis (thư viện redis-py), dẫn đến các yêu cầu bị hủy có thể khiến các kết nối bị ngắt và trả về dữ liệu không mong muốn từ bộ nhớ cache của cơ sở dữ liệu, trong trường hợp này là thông tin thuộc về người dùng không liên quan. Tệ hơn nữa, công ty nghiên cứu AI có trụ sở tại San Francisco cho biết họ đã nhầm lẫn khi đưa ra một thay đổi phía máy chủ dẫn đến số lượng yêu cầu bị hủy tăng đột biến, do đó làm tăng tỷ lệ lỗi.

Điều này đã khiến dịch vụ ChatGPT làm lộ các truy vấn trò chuyện của người dùng khác và thông tin liên quan đến thanh toán cá nhân của khoảng 1,2% số người đăng ký ChatGPT Plus vào ngày 20/3 trong khoảng thời gian từ 1 đến 10 giờ sáng (theo giờ Thái Bình Dương). Thông tin bị lộ bao gồm họ và tên, địa chỉ email, địa chỉ thanh toán, bốn chữ số cuối và ngày hết hạn của thẻ tín dụng. Tuy nhiên, số thẻ tín dụng đầy đủ sẽ không bị lộ.

“Lỗi được phát hiện trong thư viện mã nguồn mở của ứng dụng khách Redis, redis-py. Ngay sau khi xác định được sự cố, chúng tôi đã liên hệ với những người bảo trì Redis bằng một bản vá để giải quyết vấn đề. Sau khi điều tra sâu hơn, chúng tôi cũng phát hiện ra rằng lỗi tương tự có thể đã khiến 1,2% người đăng ký ChatGPT Plus nhìn thấy thông tin liên quan đến thanh toán”, OpenAI giải thích trong một báo cáo điều tra sự cố và cho biết họ đang kết nối với tất cả những người dùng ChatGPT bị ảnh hưởng bởi sự cố này.

Ngoài ra, đại diện công ty cũng cho biết số lượng người bị lộ dữ liệu có khả năng rất thấp vì nó yêu cầu các hành động cụ thể được thực hiện, bao gồm:

Mở email xác nhận đăng ký được gửi vào ngày 20/3, từ 1 giờ sáng đến 10 giờ sáng theo giờ Thái Bình Dương.
Trong ChatGPT, chọn vào “My account”, sau đó chọn “Manage my subscription” từ 1 giờ sáng đến 10 giờ sáng theo giờ Thái Bình Dương ngày 20/3.

Giám đốc điều hành OpenAI Sam Altman lên tiếng về vụ rò rỉ trên Twitter: “Chúng tôi gặp sự cố nghiêm trọng trong ChatGPT do lỗi trong thư viện mã nguồn mở. Bản sửa lỗi hiện đã được phát hành và chúng tôi vừa hoàn tất xác thực. Một tỷ lệ nhỏ người dùng có thể xem tiêu đề trong lịch sử hội thoại của những người dùng khác”.

OpenAI sửa lỗi chiếm đoạt tài khoản

Trong một vấn đề khác liên quan đến bộ nhớ đệm, công ty cũng đã giải quyết lỗ hổng chiếm đoạt tài khoản quan trọng có thể bị khai thác để giành quyền kiểm soát tài khoản của người dùng khác, xem lịch sử trò chuyện của họ và truy cập thông tin thanh toán mà họ không hề hay biết.

Lỗ hổng được nhà nghiên cứu bảo mật Gal Nagli phát hiện, vượt qua các biện pháp bảo vệ của OpenAI trên “chat.openai.com” để đọc dữ liệu nhạy cảm của nạn nhân.

Lỗi chiếm đoạt tài khoản

Điều này đạt được bằng cách tạo một liên kết được thiết kế đặc biệt kết hợp thêm tài nguyên .CSS vào điểm cuối “chat.openai.com/api/auth/session/” và đánh lừa nạn nhân nhấp vào liên kết, khiến phản hồi chứa một JSON với chuỗi AccessToken sẽ được lưu vào bộ đệm trong CDN của Cloudflare.

Phản hồi được lưu trong bộ nhớ cache đối với tài nguyên CSS (có giá trị header CF-Cache-Status được đặt thành HIT), sau đó bị tin tặc lạm dụng để thu thập thông tin đăng nhập mã thông báo Web JSON (JWT) của mục tiêu và chiếm đoạt tài khoản. Nagli cho biết lỗi đã được OpenAI sửa trong vòng hai giờ sau lỗ hổng bị phát hiện, cho thấy mức độ nghiêm trọng của vấn đề.

Hồng Đạt

‹ › ×

Tin liên quan

Cảnh báo nguy cơ lừa đảo liên quan đến ChatGPT

10:00 | 13/03/2023

Mới đây, Công ty an ninh mạng Darktrace của Anh đã phát cảnh báo công cụ trò chuyện ChatGPT sử dụng trí tuệ nhân tạo có thể đã làm gia tăng các vụ lừa đảo trên không gian mạng với những thủ đoạn hết sức tinh vi.

Netskope phát hiện có nhiều mã nguồn được đẩy vào ChatGPT

10:00 | 12/09/2023

Mới đây, công ty phần mềm Netskope (Mỹ) đã đưa ra một báo cáo cho thấy, mã nguồn được đẩy vào ChatGPT nhiều hơn bất kỳ loại dữ liệu nhạy cảm nào, với tỷ lệ 158 sự cố trên 10 nghìn người dùng mỗi tháng.

Cảnh báo của Europol về các hoạt động tội phạm từ ChatGPT và hệ thống AI

09:00 | 10/04/2023

Ngày 27/3, Cơ quan thực thi pháp luật EU đã công bố một báo cáo nhanh cảnh báo rằng ChatGPT và các hệ thống AI tổng quát khác có thể được sử dụng để lừa đảo trực tuyến và các tội phạm mạng khác.

Sự cố rò rỉ dữ liệu VirusTotal làm ảnh hưởng đến thông tin cá nhân của 5.600 khách hàng

10:00 | 03/08/2023

Dữ liệu được liên kết với một nhóm thông tin khách hàng đã đăng ký của VirusTotal, bao gồm tên và địa chỉ email, đã bị rò rỉ sau khi một nhân viên của VirusTotal vô tình tải tệp CSV chứa thông tin khách hàng lên nền tảng quét phần mềm độc hại vào tháng 6.

Mỹ nghiên cứu áp quy tắc giải trình với ChatGPT

07:00 | 24/04/2023

Chính quyền của Tổng thống Mỹ Joe Biden đang lấy ý kiến từ công chúng về khả năng áp dụng những biện pháp giải trình tiềm năng đối với các hệ thống trí tuệ nhân tạo (AI), trong bối cảnh có nhiều câu hỏi đặt ra về tác động của những công cụ ứng dụng AI mới đối với an ninh và giáo dục quốc gia.

ChatGPT sập diện rộng tại Việt Nam

10:00 | 22/02/2023

Theo phản ánh của người dùng Việt Nam, nhiều tài khoản người sử dụng OpenAI cho biết, họ không thể truy cập vào ChatGPT trong suốt buổi chiều tối ngày 21/2.

Mã nguồn mở thực sự là công cụ đắc lực hay quả bom nổ chậm cho doanh nghiệp?

09:00 | 19/03/2024

Trong phiên bản thứ 9 của Synopsys, báo cáo Open Source Security and Risk Analysis (OSSRA) năm 2024 mang đến cái nhìn sâu rộng về tình hình hiện tại của an ninh mã nguồn mở, sự tuân thủ, cấp phép và các rủi ro về chất lượng mã nguồn trong phần mềm thương mại.

Mặt tối của ChatGPT và hàm ý chính sách cho Việt Nam (Phần II)

10:00 | 10/11/2023

Tọa đàm trực tuyến “Mặt tối của ChatGPT và hàm ý chính sách cho Việt Nam” được Tạp chí An toàn thông tin tổ chức vào chiều ngày 09/11 với sự tham dự của GS, TS. Nguyễn Thanh Thủy, nguyên Phó Hiệu trưởng Đại học Công nghệ (ĐHQG Hà Nội); Ủy viên Hội đồng Giáo sư nhà nước; Chủ tịch HĐGS ngành CNTT; Chủ tịch Câu lạc bộ FISU và TS. Đặng Minh Tuấn, Viện trưởng Viện Nghiên cứu Ứng dụng CMC; Trưởng Lab Blockchain - Học viện Công nghệ Bưu chính Viễn thông; Phó Chủ tịch Câu lạc bộ FinTech của Hiệp hội Ngân hàng Việt Nam phân tích những thách thức bảo mật của công nghệ ChatGPT đặt ra và gợi mở về các động thái cho Việt Nam.

Cảnh báo nguy cơ rò rỉ tài sản sở hữu trí tuệ và chiến lược khi sử dụng ChatGPT

10:00 | 28/08/2023

Trong khi các tổ chức/doanh nghiệp trên thế giới đang tìm cách tận dụng tốt nhất chatbot ChatGPT, các hãng bảo mật lại đưa ra cảnh báo nguy cơ rò rỉ tài sản sở hữu trí tuệ và chiến lược.

WormGPT: Công cụ AI mới cho phép tin tặc thực hiện các cuộc tấn công lừa đảo

09:00 | 01/08/2023

Các nhà nghiên cứu công ty an ninh mạng SlashNext mới đây đã đưa ra cảnh báo về những mối nguy hiểm liên quan đến một công cụ tội phạm mạng AI thế hệ mới có tên là “WormGPT”, được quảng cáo trên các diễn đàn ngầm như một công cụ hoàn hảo để thực hiện các chiến dịch tấn công lừa đảo tinh vi và thỏa hiệp email doanh nghiệp (BEC).

Sức nóng của ChatGPT trên thế giới

15:00 | 16/02/2023

Gần đây, ChatGPT nổi lên như một hiện tượng khi có thể viết văn, làm thơ, tạo ra các cuộc trò chuyện một cách tự nhiên, thậm chí có thể thay lập trình viên viết code. Siêu trí tuệ nhân tạo này đã đạt tới 10 triệu người dùng mỗi ngày chỉ sau 40 ngày ra mắt. Con số mà Instagram đã mất tới 355 ngày mới đạt được.

Rủi ro về bảo mật đối với phần mềm nguồn mở đóng góp ẩn danh

08:00 | 27/02/2025

Báo cáo của Lineaje AI Labs đã đặt ra một câu hỏi quan trọng về tính minh bạch trong chuỗi cung ứng phần mềm quan trọng trên toàn cầu, đặc biệt trong bối cảnh phần mềm nguồn mở đang ngày càng được ứng dụng rộng rãi dẫn đến những nguy cơ tiềm ẩn về bảo mật, nhất là khi các đóng góp vào các dự án mã nguồn mở từ những nguồn không xác định.

Tin cùng chuyên mục

Cục Quản lý kỹ thuật nghiệp vụ mật mã: 45 năm xây dựng và phát triển

15:00 | 19/03/2025

Cục Quản lý kỹ thuật nghiệp vụ mật mã (QLKTNVMM) với một chặng đường lịch sử 45 năm đầy dấu ấn, đã không ngừng khẳng định vai trò quan trọng của mình trong công cuộc bảo vệ bí mật quốc gia. Các thế hệ cán bộ, nhân viên Cục QLKTNVMM đã có nhiều cố gắng, vượt qua mọi khó khăn thử thách không ngừng phát triển và trưởng thành về mọi mặt, góp phần xây dựng ngành Cơ yếu Việt Nam chính quy, hiện đại, đáp ứng yêu cầu bảo mật thông tin trong thời đại số.

Đóng điện hàng loạt công trình lưới điện 110 kV tại các tỉnh phía Nam

14:00 | 14/03/2025

Ngay sau kỳ nghỉ Tết 2025, Tổng công ty Điện lực miền Nam (EVNSPC) đã bắt tay vào công việc. Trên công trường các dự án đầu tư xây dựng lưới điện 110 kV, không khí làm việc luôn được tập trung cao độ với tinh thần làm việc xuyên ngày nghỉ.

Người dùng không thể truy cập vào Facebook trên máy tính

15:00 | 27/02/2025

Sáng 27/2, mạng xã hội Facebook xuất hiện lỗi nghiêm trọng trên bản trình duyệt. Người dùng không thể truy cập. Theo đó, khi truy cập vào website, thay vì các bài đăng quen thuộc, trên Facebook hiện lên thông báo: "Rất tiếc, đã xảy ra lỗi".

Hàng loạt tỷ phú Italy bị lừa bởi AI giả giọng Bộ trưởng Quốc phòng

08:00 | 19/02/2025

Giới doanh nhân tinh hoa của Italy đang bị chấn động bởi một vụ lừa đảo sử dụng giọng nói do AI tạo ra, bắt chước giọng nói của Bộ trưởng Quốc phòng Guido Crosetto gọi điện yêu cầu chuyển khoản quyên góp tiền.

Tin được quan tâm

Mã độc tống tiền - Sự phát triển qua các giai đoạn, kỹ thuật sử dụng và biện pháp giảm thiểu nguy cơ

09:00 | 03/02/2025 | Hacker / Malware
Thực trạng và giải pháp đảm bảo an ninh mạng tại Đan Mạch

09:00 | 02/02/2025 | Chính sách - Chiến lược

Tổng quan về khai thác lỗ hổng mô hình trí tuệ nhân tạo tạo sinh GPT

22:00 | 30/01/2025|Giải pháp khác
DeepSeek - AI của Trung Quốc gây chấn động toàn cầu

08:00 | 29/01/2025|Công nghệ thông tin

Cảnh báo hình thức tấn công mới trong hệ sinh thái Web3

08:00 | 29/01/2025|Hacker / Malware
Khung kiểm toán Tokenomics: Đánh giá và phân tích bền vững của các hệ thống token blockchain (Phần 2)

22:00 | 26/01/2025|Công nghệ PKI

Chính trị - Xã hội

Nhiệt điện Hải Phòng: Trách nhiệm môi trường và an sinh xã hội

Trong bối cảnh biến đổi khí hậu ngày càng phức tạp, Công ty Cổ phần Nhiệt điện Hải Phòng không ngừng nỗ lực cải thiện quy trình sản xuất nhằm bảo vệ môi trường và thúc đẩy an sinh xã hội. Với chiến lược sử dụng hợp lý tài nguyên và áp dụng công nghệ tiên tiến, công ty đã và đang thực hiện nhiều biện pháp thiết thực để giảm thiểu tác động đến môi trường.

10:00 | 21/03/2025
Người đảng viên, kỹ sư tận tụy nơi đầu sóng ngọn gió
3 cuộc thi đặc biệt mừng 50 năm thành lập ngành Điện miền Nam
Viện Khoa học - Công nghệ mật mã: 45 năm vững truyền thống, sáng tương lai