Passer au contenu

ChatGPT a divulgué des données sensibles sur ses utilisateurs

ChatGPT a révélé des données sensibles, comme le nom, l’adresse et les quatre derniers chiffres du numéro de carte de crédit, d’une partie de ses utilisateurs. OpenAI a confirmé l’existence d’une défaillance tout en minimisant les conséquences de l’anomalie…

Lundi dernier, OpenAI a été obligé de mettre ChatGPT hors ligne. La start-up s’est rendu compte que les historiques de conversations de certains utilisateurs ont été partagés avec d’autres internautes. Concrètement, une partie des utilisateurs a remarqué des intitulés de conversations inconnus, mais il n’était pas possible de consulter les requêtes ou les réponses de l’IA générative. Ce dysfonctionnement n’a touché qu’une infirme partie des usagers, précise OpenAI, qui a suspendu la fonctionnalité le temps de déployer un correctif.

À lire aussi : quels métiers seront touchés par la révolution ChatGPT ?

Des informations de paiement en fuite

Malheureusement, il s’est avéré que les historiques de conversation n’étaient pas les seules données divulguées lors du dysfonctionnement. Dans un billet publié ce 24 mars, OpenAI révèle que le même bug a aussi révélé des « informations relatives au paiement ». Selon la start-up, les données de paiement de 1,2 % des abonnés à ChatGPT Plus, la version payante de l’IA générative, sont apparues sur le compte d’autres utilisateurs. Seuls les usagers « qui étaient actifs pendant une fenêtre spécifique de neuf heures » sont potentiellement concernés.

Parmi les données divulguées par erreur, on trouve le prénom et le nom de famille d’un autre utilisateur actif au même moment, l’adresse e-mail, l’adresse de facturation, les quatre derniers chiffres et la date d’expiration de la carte de crédit utilisée pour l’abonnement. L’entreprise ajoute que les « numéros complets des cartes de crédit » n’ont jamais été partagés avec autrui.

En clair, les données divulguées par mégarde ne permettent pas à un éventuel attaquant de réaliser des paiements avec la carte de crédit. Néanmoins, il s’agit de données sensibles, qui pourraient s’avérer dangereuses entre les mains d’un individu malveillant. Par exemple, des informations comme le nom et l’adresse peuvent permettre d’orchestrer des campagnes de phishing personnalisées.

Un risque minime

Néanmoins, la start-up se veut rassurante. Aux dires d’OpenAI, « le nombre d’utilisateurs dont les données ont été révélées à quelqu’un d’autre est extrêmement faible ». Pour tomber par hasard sur les informations d’autrui, un abonné à ChatGPT Plus devait ouvrir un mail de confirmation d’abonnement envoyé dans un créneau horaire de neuf heures.

Une partie des courriels de confirmation envoyés à ce moment-là contenaient en effet les quatre derniers chiffres du numéro de carte de crédit d’un autre utilisateur. OpenAI révèle que ces mails ont été envoyés à la mauvaise personne.

Pour découvrir des informations de paiement concernant autrui, un abonné ChatGPT Plus aurait également pu se rendre dans la section « Manage my subscription » pendant le même créneau de neuf heures. C’est là que les informations sensibles au sujet d’autres abonnés, comme le nom et l’adresse, sont apparues. Finalement, il est probable que la plupart des abonnés, ayant effectivement eu accès aux données d’autrui, n’aient pas pris conscience du problème.

« Nous avons contacté les utilisateurs concernés pour les informer que leurs informations de paiement peuvent avoir été exposées. Nous sommes convaincus qu’il n’y a pas de risque permanent pour les données des utilisateurs », déclare OpenAI.

Les origines du bug

Dans son communiqué, OpenAI précise que l’anomalie a été provoquée par un dysfonctionnement au sein de la bibliothèque open source de Redis, un système de gestion de base de données. Ce système, utilisé pour mettre en cache les données des usagers, a dysfonctionné à la suite d’un changement du serveur d’OpenAI.

Si un internaute réclamait des informations similaires à celles d’une demande annulée, la bibliothèque pouvait pousser des données corrompues par erreur. C’est pourquoi des informations de paiement et l’historique des requêtes ont été envoyés à certains usagers connectés au même moment. Ces données, stockées dans le cache, étaient destinées à un autre internaute.

Pour éviter d’autres erreurs de cet acabit à l’avenir, OpenAI a ajouté des « vérifications redondantes » contre les mélanges de données. La start-up annonce aussi avoir apporté des améliorations générales au fonctionnement de la bibliothèque.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : OpenAI


Florian Bayard
Votre opinion
Les commentaires sont fermés.