À l'origine de dysfonctionnements de l'agent conversationnel pendant plusieurs heures et de l'interruption temporaire de l'historique des conversations, le bug ayant touché ChatGPT a eu des conséquences plus graves que ce qui avait été initialement confirmé par OpenAI.
Il n'est en effet plus seulement question d'une compromission des titres des conversations avec le chatbot qui ont été visibles pour d'autres utilisateurs. Le même bug a été à l'origine de la visibilité involontaire d'informations de paiement en rapport avec l'abonnement ChatGPT Plus.
D'après OpenAI, cette fuite d'informations de paiement a touché environ 1,2 % des utilisateurs de ChatGPT Plus ayant eu recours au service le lundi 20 mars, pendant une fenêtre d'une durée totale de 9 heures, soit entre 10h et 19h (heure de Paris).
Un risque d'exposition très faible, d'après OpenAI
" Dans les heures qui ont précédé la mise hors ligne de ChatGPT lundi, certains utilisateurs ont pu voir le nom et le prénom, l'adresse email, l'adresse de paiement, les quatre derniers chiffres (uniquement) d'une carte bancaire et la date d'expiration de la carte bancaire d'un autre utilisateur actif. "
OpenAI souligne que les numéros complets des cartes de paiement n'ont jamais été exposés et estime que l'exposition d'informations à d'autres utilisateurs est extrêmement faible. Elle n'aurait été possible que dans le cadre deux scénarios.
Pendant la fenêtre d'exposition, un scénario est la gestion d'un abonnement depuis un compte. L'autre scénario est l'ouverture d'un email de confirmation d'abonnement. Cela étant, OpenAI n'écarte pas l'impact d'actions antérieures au 20 mars.
Un élément tiers en cause
" Nous avons pris contact avec les utilisateurs concernés pour les informer que leurs informations de paiement ont pu être exposées. Nous sommes convaincus qu'il n'y a aucun risque continu d'exposition pour les données des utilisateurs. "
OpenAI présente ses excuses aux utilisateurs et à l'ensemble de la communauté ChatGPT. Des mesures ont été mises en place afin d'éviter la survenue d'un tel bug à l'avenir. Il est imputé à un problème avec le client Redis Python pour le logiciel open source Redis (Remote Dictionary Server), et la mise en cache d'informations des utilisateurs.
" Le bug n'apparaissait que dans le client Asyncio redis-py pour Redis Cluster, et a été corrigé. " Des requêtes annulées pouvaient aboutir à une corruption des connexions et provoquer le renvoi de données du cache de la base de données en apparence valides, même si elles appartenaient à un autre utilisateur. OpenAI entre dans les détails techniques dans un billet de blog.