ChatGPT, un modèle de langage informatique basé sur l’architecture GPT-3.5 d’OpenAI, a été mis hors ligne la semaine dernière en raison d’un bogue dans une bibliothèque open-source. Le bogue a permis à certains utilisateurs de voir les titres de l’historique de chat d’un autre utilisateur actif, et il était également possible que le premier message d’une conversation nouvellement créée soit visible dans l’historique de chat de quelqu’un d’autre si les deux utilisateurs étaient actifs en même temps.
Selon OpenAI, le bogue a été corrigé et le service ChatGPT a été restauré, ainsi que la fonctionnalité d’historique de chat, à l’exception de quelques heures d’historique manquant. Les détails techniques du problème ont également été publiés.
Cependant, une enquête plus approfondie a révélé que le même bogue avait peut-être causé la visibilité involontaire d’informations liées aux paiements de 1,2% des abonnés ChatGPT Plus qui étaient actifs pendant une fenêtre de neuf heures spécifique. En effet, il était possible pour certains utilisateurs de voir le nom et le prénom, l’adresse e-mail, l’adresse de paiement, les quatre derniers chiffres (uniquement) d’un numéro de carte de crédit et la date d’expiration de la carte de crédit d’un autre utilisateur actif. Toutefois, les numéros de carte de crédit complets n’ont jamais été exposés.
OpenAI estime que le nombre d’utilisateurs dont les données ont réellement été révélées à quelqu’un d’autre est extrêmement faible. Pour accéder à ces informations, un abonné ChatGPT Plus aurait dû effectuer l’une des deux actions suivantes : ouvrir un e-mail de confirmation d’abonnement envoyé le lundi 20 mars entre 1h et 10h, heure du Pacifique, ou cliquer sur « Mon compte » puis sur « Gérer mon abonnement » entre 1h et 10h, heure du Pacifique, le lundi 20 mars.
OpenAI a contacté les utilisateurs concernés pour les informer que leurs informations de paiement ont peut-être été exposées. La société se montre confiante qu’il n’y a aucun risque continu pour les données des utilisateurs.
OpenAI a présenté ses excuses à ses utilisateurs et à la communauté ChatGPT, en reconnaissant sa responsabilité de protéger la vie privée des utilisateurs et de garantir la sécurité de leurs données. La société s’engage à travailler avec diligence pour regagner la confiance de ses utilisateurs.
Le bogue a été découvert dans la bibliothèque open-source redis-py, utilisée par ChatGPT pour interagir avec Redis, une base de données en mémoire cache. OpenAI a travaillé avec les mainteneurs de Redis pour corriger le bogue. Les détails techniques du bogue ont été expliqués en détail par OpenAI.