OpenAI ha anunciado nuevos detalles sobre por qu\u00e9 desconect\u00f3 ChatGPT el lunes<\/a>y ahora dice que la informaci\u00f3n de pago de algunos usuarios puede haber estado expuesta durante el incidente. <\/p>\n<\/div>\n De acuerdo a una publicaci\u00f3n de la empresa<\/a>, un error en una biblioteca de c\u00f3digo abierto llamada redis-py cre\u00f3 un problema de almacenamiento en cach\u00e9 que puede haber mostrado a algunos usuarios activos los \u00faltimos cuatro d\u00edgitos y la fecha de vencimiento de la tarjeta de cr\u00e9dito de otro usuario, junto con su nombre y apellido, direcci\u00f3n de correo electr\u00f3nico y direcci\u00f3n de pago . Los usuarios tambi\u00e9n pueden haber visto fragmentos de los historiales de chat de otros.<\/p>\n<\/div>\n Esta no es la primera vez que los problemas de almacenamiento en cach\u00e9 hacen que los usuarios vean los datos de los dem\u00e1s; es famoso, el d\u00eda de Navidad de 2015, los usuarios de Steam se sirvieron p\u00e1ginas con informaci\u00f3n de las cuentas de otros usuarios<\/a>. Hay algo de iron\u00eda en el hecho de que OpenAI se enfoca e investiga mucho para descubrir las posibles ramificaciones de seguridad y protecci\u00f3n de su IA, pero que fue atrapado por un problema de seguridad muy conocido.<\/p>\n<\/div>\n La compa\u00f1\u00eda dice que la fuga de informaci\u00f3n de pago puede haber afectado a alrededor del 1,2 por ciento de ChatGPT Plus que utiliz\u00f3 el servicio entre las 4 a. m. y la 1 p. m. ET el 20 de marzo. <\/p>\n<\/div>\n Solo se vio afectado si estaba usando la aplicaci\u00f3n durante el incidente.<\/p>\n<\/div>\n<\/div>\n Hay dos escenarios que podr\u00edan haber causado que los datos de pago se muestren a un usuario no autorizado, seg\u00fan OpenAI. Si un usuario fue a la pantalla Mi cuenta > Administrar suscripci\u00f3n, durante el per\u00edodo de tiempo, es posible que haya visto informaci\u00f3n de otro usuario de ChatGPT Plus que estaba usando activamente el servicio en ese momento. La compa\u00f1\u00eda tambi\u00e9n dice que algunos correos electr\u00f3nicos de confirmaci\u00f3n de suscripci\u00f3n enviados durante el incidente fueron a la persona equivocada y que incluyen los \u00faltimos cuatro d\u00edgitos del n\u00famero de tarjeta de cr\u00e9dito del usuario.<\/p>\n<\/div>\n La compa\u00f1\u00eda dice que es posible que ambas cosas sucedieran antes del 20, pero que no tiene confirmaci\u00f3n de que haya sucedido. OpenAI se ha comunicado con los usuarios que pueden haber visto expuesta su informaci\u00f3n de pago.<\/p>\n<\/div>\n Como para c\u00f3mo<\/em> todo esto sucedi\u00f3, aparentemente se redujo al almacenamiento en cach\u00e9. La empresa tiene un completo explicaci\u00f3n t\u00e9cnica en su post<\/a>, pero el TL; DR es que utiliza un software llamado Redis para almacenar en cach\u00e9 la informaci\u00f3n del usuario. En determinadas circunstancias, una solicitud de Redis cancelada dar\u00eda como resultado que se devolvieran datos corruptos para una solicitud diferente (lo que no deber\u00eda haber ocurrido). Por lo general, la aplicaci\u00f3n obtendr\u00eda esos datos, dir\u00eda \u00abesto no es lo que ped\u00ed\u00bb y arrojar\u00eda un error. <\/p>\n<\/div>\n Pero si la otra persona estaba solicitando el mismo tipo de datos, si estaba buscando cargar la p\u00e1gina de su cuenta y los datos eran la informaci\u00f3n de la cuenta de otra persona, por ejemplo, la aplicaci\u00f3n decidi\u00f3 que todo estaba bien y se los mostr\u00f3. <\/p>\n<\/div>\n Es por eso que la gente estaba viendo la informaci\u00f3n de pago y el historial de chat de otros usuarios; estaban recibiendo datos de cach\u00e9 que en realidad se supon\u00eda que iban a ir a otra persona, pero no lo hicieron debido a una solicitud cancelada. Por eso tambi\u00e9n afect\u00f3 solo a los usuarios que estaban activos. Las personas que no estaban usando la aplicaci\u00f3n no tendr\u00edan sus datos almacenados en cach\u00e9. <\/p>\n<\/div>\n Lo que empeor\u00f3 las cosas fue que, en la ma\u00f1ana del 20 de marzo, OpenAI realiz\u00f3 un cambio en su servidor que accidentalmente provoc\u00f3 un aumento en las solicitudes canceladas de Redis, aumentando la cantidad de posibilidades de que el error devuelva un cach\u00e9 no relacionado a alguien.<\/p>\n<\/div>\n OpenAI dice que el error, que apareci\u00f3 en una versi\u00f3n muy espec\u00edfica de Redis, ahora se ha solucionado y que las personas que trabajan en el proyecto han sido \u201ccolaboradores fant\u00e1sticos\u201d. Tambi\u00e9n dice que est\u00e1 realizando algunos cambios en su propio software y pr\u00e1cticas para evitar que este tipo de cosas vuelvan a suceder, incluida la adici\u00f3n de \u00abverificaciones redundantes\u00bb para asegurarse de que los datos que se entregan realmente pertenezcan al usuario que los solicita y reducir la probabilidad de que su El cl\u00faster de Redis arrojar\u00e1 errores bajo cargas altas.<\/p>\n<\/div>\n Si bien dir\u00eda que esos controles deber\u00edan haber estado all\u00ed en primer lugar, es bueno que OpenAI los haya agregado ahora. El software de c\u00f3digo abierto es esencial para la web moderna, pero tambi\u00e9n presenta su propio conjunto de desaf\u00edos; porque cualquiera puede usarlo, los errores pueden afectar a un gran n\u00famero de servicios y empresas a la vez<\/a>. Y, si un actor malintencionado sabe qu\u00e9 software usa una empresa espec\u00edfica, potencialmente puede apuntar a ese software para intentar introducir un exploit a sabiendas. Hay controles que hacen que hacerlo sea m\u00e1s dif\u00edcil<\/a>pero como empresas como Google han demostrado<\/a>lo mejor es trabajar para asegurarse de que no suceda<\/a> y estar preparado para ello si lo hace.<\/p>\n<\/div>\n<\/div>\n