Comment ChatGPT a laissé fuiter des données d'utilisateurs
OpenAI a confirmé avoir dû colmater une brèche qui avait divulgué les informations de certains utilisateurs. Comme de plus en plus souvent, le souci résidait dans un composant open source corrompu au sein de la supply chain logicielle.
Dans un article récent, le média spécialisé SiliconAngle faisait remarquer que la sécurité de la supply chain logicielle et l'essor de puissants moteurs d'intelligence artificielle figurent au sommet des préoccupations des responsables de la sécurité des environnements cloud. Il se trouve qu'OpenAI, à qui l’on doit ChatGPT, vient de faire l'amère expérience de la menace que représente la myriade de composants que recèle cette chaîne d'approvisionnement, dont aujourd'hui tout applicatif dépend plus ou moins.
Ce 24 mars, les concepteurs de ChatGPT ont confirmé une violation de données liées à son désormais incontournable chatbot. La société affirme l'avoir mis hors ligne le temps de colmater la brèche. La faille a révélé aux utilisateurs les noms d’autres utilisateurs en ligne, le premier message de toute nouvelle conversation entamée ainsi que les informations de facturation de 1,2% des membres de ChatGPT Plus.
Dans son billet de blog, la société donne des détails sur les causes et sur les mesures prises. Il s’avère que le problème est survenu lorsque OpenAI a mis à jour son système le 20 mars et que ChatGPT a utilisé le module client Redis-py pour la mise en cache des informations relatives aux utilisateurs. Or, cette bibliothèque open-source contenait un bug, selon les termes utilisés par les équipes d’OpenAI. Sans entrer dans les détails, la faille correspond à une connexion corrompue lorsqu'un conflit survient au niveau des requêtes et des réponses dans le processus de mise en cache.
OpenAI a informé les utilisateurs concernés. L'entreprise affirme en outre avoir amélioré la robustesse et les capacités de mise à l'échelle de son cluster Redis afin de réduire la probabilité d'erreurs de connexion en cas de charge extrême.
Une autre vulnérabilité découverte
Une autre vulnérabilité dans ChatGPT a également été découverte en parallèle. La société de renseignement sur les menaces cyber GreyNoise a publié une alerte, cette fois au sujet d'une nouvelle fonctionnalité de ChatGPT qui augmente les capacités de collecte d'informations du chatbot par le biais de plugins. GreyNoise a observé que les échantillons de code d'OpenAI pour les clients souhaitant intégrer leurs plugins avec la nouvelle capacité comprennent une image Docker pour le système de stockage d'objets distribués MinIO. Plus précisément la release 2022-03-17. Or, cette version de MinIO abrite une vulnérabilité entraînant la divulgation d'informations sur toutes les variables d'environnement, avertit GreyNoise.
