OpenAI का कहना है कि ChatGPT के इतिहास बग ने भुगतान जानकारी को भी उजागर किया हो सकता है

OpenAI ने ऐसा क्यों किया, इसके बारे में नए विवरण की घोषणा की है सोमवार को चैटजीपीटी को ऑफलाइन ले लियाऔर अब यह कह रहा है कि घटना के दौरान कुछ उपयोगकर्ताओं की भुगतान जानकारी उजागर हो सकती है।

के अनुसार कंपनी से एक पोस्ट, redis-py नामक एक ओपन सोर्स लाइब्रेरी में एक बग ने एक कैशिंग समस्या पैदा की है जो कुछ सक्रिय उपयोगकर्ताओं को उनके पहले और अंतिम नाम, ईमेल पते और भुगतान पते के साथ अंतिम चार अंक और दूसरे उपयोगकर्ता के क्रेडिट कार्ड की समाप्ति तिथि दिखा सकती है। . यूजर्स ने दूसरों की चैट हिस्ट्री के स्निपेट भी देखे होंगे।

यह पहली बार नहीं है जब कैशिंग मुद्दों ने उपयोगकर्ताओं को एक-दूसरे के डेटा को देखने के लिए प्रेरित किया है – प्रसिद्ध रूप से, 2015 में क्रिसमस के दिन, स्टीम उपयोगकर्ता अन्य उपयोगकर्ताओं के खातों की जानकारी वाले पृष्ठ परोसे गए. इस तथ्य में कुछ विडंबना है कि OpenAI अपने AI की संभावित सुरक्षा और सुरक्षा प्रभावों का पता लगाने के लिए बहुत अधिक ध्यान और शोध करता है, लेकिन यह एक बहुत ही प्रसिद्ध सुरक्षा मुद्दे द्वारा पकड़ा गया।

कंपनी का कहना है कि भुगतान जानकारी लीक होने से चैटजीपीटी प्लस का लगभग 1.2 प्रतिशत प्रभावित हो सकता है, जिन्होंने 20 मार्च को 4AM और 1PM ET के बीच सेवा का उपयोग किया था।

OpenAI के अनुसार, ऐसे दो परिदृश्य हैं जिनके कारण अनधिकृत उपयोगकर्ता को भुगतान डेटा दिखाया जा सकता है। यदि कोई उपयोगकर्ता मेरा खाता > प्रबंधित सदस्यता स्क्रीन पर जाता है, तो समय सीमा के दौरान, उन्होंने किसी अन्य ChatGPT Plus उपयोगकर्ता की जानकारी देखी होगी जो उस समय सक्रिय रूप से सेवा का उपयोग कर रहा था। कंपनी का यह भी कहना है कि घटना के दौरान भेजे गए कुछ सब्सक्रिप्शन पुष्टिकरण ईमेल गलत व्यक्ति के पास गए और उनमें उपयोगकर्ता के क्रेडिट कार्ड नंबर के अंतिम चार अंक शामिल हैं।

कंपनी का कहना है कि यह संभव है कि ये दोनों चीजें 20 तारीख से पहले हुई हों लेकिन इसकी पुष्टि नहीं है कि ऐसा कभी हुआ था। OpenAI उन उपयोगकर्ताओं तक पहुंच गया है, जिनकी भुगतान जानकारी उजागर हो सकती है।

से संबंधित कैसे यह सब हुआ, यह स्पष्ट रूप से कैशिंग के लिए नीचे आया। कंपनी के पास फुल है इसकी पोस्ट में तकनीकी स्पष्टीकरण, लेकिन टीएल; डीआर यह है कि यह उपयोगकर्ता जानकारी को कैश करने के लिए रेडिस नामक सॉफ़्टवेयर का उपयोग करता है। कुछ परिस्थितियों में, एक रद्द किए गए रेडिस अनुरोध के परिणामस्वरूप दूषित डेटा एक अलग अनुरोध के लिए वापस आ जाएगा (जो नहीं होना चाहिए था)। आमतौर पर, ऐप को वह डेटा मिल जाता है, कहते हैं, “यह वह नहीं है जो मैंने मांगा था,” और एक त्रुटि फेंकता है।

लेकिन अगर दूसरा व्यक्ति उसी प्रकार के डेटा के लिए पूछ रहा था — यदि वे अपने अकाउंट पेज को लोड करना चाह रहे थे और डेटा किसी और की अकाउंट जानकारी थी, उदाहरण के लिए — ऐप ने फैसला किया कि सब कुछ ठीक था और उन्हें दिखाया।

इसलिए लोग अन्य उपयोगकर्ताओं की भुगतान जानकारी और चैट इतिहास देख रहे थे; उन्हें कैश डेटा परोसा जा रहा था जो वास्तव में किसी और के पास जाना चाहिए था लेकिन रद्द किए गए अनुरोध के कारण नहीं। यही कारण है कि यह केवल उन उपयोगकर्ताओं को प्रभावित करता है जो सक्रिय थे। जो लोग ऐप का उपयोग नहीं कर रहे थे, उनका डेटा कैश नहीं होगा।

20 मार्च की सुबह, OpenAI ने अपने सर्वर में एक बदलाव किया, जिससे गलती से Redis अनुरोधों को रद्द कर दिया गया, जिससे किसी को असंबंधित कैश वापस करने के लिए बग के अवसरों की संख्या बढ़ गई।

OpenAI का कहना है कि रेडिस के एक बहुत विशिष्ट संस्करण में दिखाई देने वाली बग को अब ठीक कर दिया गया है और जो लोग परियोजना पर काम करते हैं, वे “शानदार सहयोगी” हैं। यह यह भी कहता है कि यह इस प्रकार की चीजों को फिर से होने से रोकने के लिए अपने स्वयं के सॉफ़्टवेयर और प्रथाओं में कुछ बदलाव कर रहा है, जिसमें यह सुनिश्चित करने के लिए “अनावश्यक चेक” जोड़ना शामिल है कि वास्तव में परोसा जा रहा डेटा वास्तव में अनुरोध करने वाले उपयोगकर्ता से संबंधित है और इसकी संभावना को कम करता है रेडिस क्लस्टर उच्च भार के तहत त्रुटियों को दूर करेगा।

जबकि मैं तर्क दूंगा कि उन चेकों को पहले स्थान पर होना चाहिए था, यह अच्छी बात है कि OpenAI ने उन्हें अब जोड़ दिया है। ओपन सोर्स सॉफ्टवेयर आधुनिक वेब के लिए आवश्यक है, लेकिन यह अपनी चुनौतियों के सेट के साथ भी आता है; क्योंकि कोई भी इसका इस्तेमाल कर सकता है, कीड़े कर सकते हैं एक साथ कई सेवाओं और कंपनियों को प्रभावित करते हैं. और, यदि एक दुर्भावनापूर्ण अभिनेता जानता है कि एक विशिष्ट कंपनी किस सॉफ़्टवेयर का उपयोग करती है, तो वे संभावित रूप से उस सॉफ़्टवेयर को लक्षित कर सकते हैं और जानबूझ कर एक शोषण पेश कर सकते हैं। वहाँ हैं जाँचें जो इतना कठिन काम करती हैंलेकिन जैसा कि Google जैसी कंपनियों ने दिखाया हैयह करने के लिए सबसे अच्छा है यह सुनिश्चित करने के लिए काम करें कि ऐसा न हो और अगर ऐसा होता है तो इसके लिए तैयार रहें।