ChatGPTで個人情報漏えい OpenAIが原因と対策を説明

[ITmedia]

　米OpenAIは3月24日（現地時間）、20日にChatGPTを短時間オフラインにした理由を説明した。ユーザーに別のユーザーの氏名、メールアドレス、住所、クレジットカード番号の下4桁、カードの有効期限が表示される問題があったためオフラインにし、バグを修正したという。

　個人情報が漏えいしたのは、有料版「ChatGPT Plus」の会員の約1.2％で、影響を受けた可能性のある全員に連絡したという。

　この問題と同時に、一部のユーザーに別のユーザーのチャット履歴が表示されてしまう問題も発生していた。

　ChatGPTのチャット履歴は、画面の左側にあるサイドバーに表示され、クリックするとチャットの続きを再開できるようになっている。このサイドバーに他人のプロンプトが表示されていた。

赤枠部分がチャット履歴

　OpenAIによると、バグは修正され、「数時間分を除いて、チャット履歴を復元できた」という。

　チャット履歴と個人データが他のユーザーに表示されてしまった原因は、いずれもChatGPTで採用しているインメモリ型データベースシステム「Redis」（Remote Dictionary Server）のクライアントのライブラリのバグ。「バグはRedisクライアントのライブラリであるredis-pyにあった。バグを特定し、Redisメンテナーにパッチを提供した」。

　他人の住所や支払情報が表示されたのは、20日午前1時から午前10時の間に誤って別のユーザーに送られたサブスクリプション確認メールを開いたユーザーか、この時間枠内にChatGPTで「My Account」→「Manage my subscription」をクリックしてアカウント情報を表示したユーザー。「データが実際に他人に公開されたユーザーの数は非常に少ないと考えている」。

　OpenAIは公式ブログで、Redisのバグと対策について、詳細に説明している。

　サム・アルトマンCEOは22日の夜、「私たちはこの件を遺憾に思っている」とツイートし、技術的な説明をすると約束していた。