Die Zahlungsinformationen von 1,2 Prozent aller ChatGPT Plus-Abonnenten waren durch ein Datenleck für andere Nutzer der Plattform sichtbar.
Ein Fehler in der Open-Source-Bibliothek des Redis-Clients führte am Montag zu einem Datenleck auf der beliebten ChatGPT-Plattform, woraufhin der Betreiber OpenAI diese vorübergehend offline nahm. Inzwischen gab das Unternehmen bekannt, dass dabei mitunter auch Zahlungsinformationen in fremde Hände gelangt sind.
ChatGPT-Datenleck betrifft Chat-Anfragen und persönliche Daten
Am Montag häuften sich Berichte einiger ChatGPT-Nutzer darüber, dass sie Zugriff auf Chat-Anfragen anderer Personen hatten. Diese tauchten plötzlich in der Seitenleiste des von OpenAI bereitgestellten KI-Tools auf. Dort sammelt die Software üblicherweise den Verlauf bisheriger Chats, sodass die Benutzer zu einem späteren Zeitpunkt erneut darauf zugreifen können.
Wie BleepingComputer berichtet, kam es offenbar zu einem Datenleck, durch das einige Anwender von ChatGPT mitunter E-Mail-Adressen und Telefonnummern fremder Personen einsehen konnten.
Kurz darauf nahm OpenAI seinen KI-Chatbot offline, ohne über weitere Details zu den Vorfällen zu informieren. Diese lieferte das Unternehmen nun jedoch nach.
Fehler im quelloffenen Redis-Client als Ursache
Wie OpenAI in seinem Bericht erklärt, war ein Fehler in der Open-Source-Bibliothek des verwendeten Redis-Clients “redis-py” für das ChatGPT-Datenleck verantwortlich. Infolgedessen habe der Dienst unbefugten Anwendern unbeabsichtigt Chat-Anfragen und persönliche Daten von etwa 1,2 % aller ChatGPT Plus-Abonnenten angezeigt.
“Sobald wir den Fehler identifiziert hatten, haben wir uns mit einem Patch an die Redis-Maintainer gewandt, um das Problem zu beheben”, heißt es in dem Statement des Unternehmens.
Das ChatGPT-Datenleck habe ferner “Vor- und Nachnamen eines anderen aktiven Benutzers, die E-Mail-Adresse, die Zahlungsadresse, die letzten vier Ziffern (nur) einer Kreditkartennummer und das Ablaufdatum der Kreditkarte” offengelegt. Betroffen seien die Daten von Abonnenten, “die während eines bestimmten Neun-Stunden-Fensters aktiv waren”.
Anzahl von Datenleck betroffener ChatGPT-Nutzer angeblich “äußerst gering”
In gleichem Zuge betont OpenAI, dass keine vollständigen Kreditkartennummern in fremde Hände gelangt sind. Außerdem sei die Anzahl der Personen, deren Daten der Dienst tatsächlich offengelegt hat, “äußerst gering”.
Denn dafür müsse ein betroffener Benutzer am Montag, dem 20. März, zwischen 1 und 10 Uhr (PST) bestimmte Aktionen in Bezug auf die Verwaltung seines Abonnements ausgeführt haben, um den Fehler auszulösen.
Alle ChatGPT-Nutzer, deren Zahlungsinformationen in fremde Hände gelangt sind, seien bereits von OpenAI über das Datenleck informiert worden.
