OpenAI, Pazartesi günü ChatGPT'yi çevrimdışı bıraktı, sonrasında ise bu kesintinin nedenini açıkladı. Şirket, bazı kullanıcıların ödeme bilgilerinin yaşanan teknik bir sıkıntıdan dolayı sızmış olabileceğine vurgu yaptı.
Şirketten yapılan açıklamaya göre redis-py adlı açık kaynak kütüphanesindeki bir hata, bazı aktif kullanıcılara başka bir kullanıcının kredi kartının son dört hanesi ve son kullanma tarihi ile birlikte adı ve soyadı, e-posta adresi ve ödeme adresini göstermiş olabilecek bir önbelleğe alma sorunu yarattı. Kullanıcılar ayrıca başkalarının sohbet geçmişlerinin parçacıklarını da görmüş olabilir.
Steam de benzer bir sorunla karşılaşmıştı
Bu, önbelleğe alma sorunlarının kullanıcıların birbirlerinin verilerini görmesine neden olduğu ilk olay değil. 2015 yılının Noel gününde Steam kullanıcılarına diğer kullanıcıların hesaplarından bilgiler içeren sayfalar sunulmuştu. OpenAI'nin yapay zekasının potansiyel güvenlik ve emniyet sonuçlarını anlamaya çok fazla odaklanması ve araştırma yapması, ancak çok iyi bilinen bir güvenlik sorunu ile karşı karşıya kalması gerçeğinde bazı ironiler var.
Şirket, ödeme bilgisi sızıntısının 20 Mart günü sabah 4 ile öğleden sonra 1 arasında hizmeti kullanan ChatGPT Plus'ın yaklaşık yüzde 1,2'sini etkilemiş olabileceğini söylüyor.
Kart numarasının son dört hanesi sızmış olabilir
OpenAI'ye göre, ödeme verilerinin yetkisiz bir kullanıcıya gösterilmesine neden olabilecek iki senaryo var. Eğer bir kullanıcı Hesabım > Aboneliği yönet ekranına gittiyse, zaman dilimi içinde, o sırada hizmeti aktif olarak kullanan başka bir ChatGPT Plus kullanıcısının bilgilerini görmüş olabilir. Şirket ayrıca, olay sırasında gönderilen bazı abonelik onay e-postalarının yanlış kişiye gittiğini ve bunların bir kullanıcının kredi kartı numarasının son dört hanesini içerdiğini söylüyor.
Şirket, bu iki olayın da ayın 20'sinden önce gerçekleşmiş olmasının mümkün olduğunu, ancak bunun gerçekleştiğine dair bir teyit almadığını söylüyor. OpenAI, ödeme bilgileri açığa çıkmış olabilecek kullanıcılara ulaştı.
Sorun nasıl ortaya çıktı?
Tüm bunların nasıl gerçekleştiğine bakıldığında sorunun önbelleğe alma ile ilgili bir teknik sorundan kaynaklı olduğu düşünülüyor. Sistem, kullanıcı bilgilerini önbelleğe almak için Redis adlı bir yazılım parçası kullanıyor. Belirli koşullar altında, iptal edilen bir Redis isteği, farklı bir istek için bozuk verilerin döndürülmesine neden olur. Genellikle uygulama bu verileri alır, "istediğim bu değildi" der ve bir hata verir.
Ancak diğer kişi aynı türde bir veri istiyorsa - örneğin kendi hesap sayfasını yüklemek istiyorsa ve veri başka birinin hesap bilgileriyse - uygulama her şeyin yolunda olduğuna karar vererek bunu onlara gösterir. Yaşanan durum da bu senaryoya uygun görünüyor.
The Verge'ün haberine göre bu yüzden insanlar diğer kullanıcıların ödeme bilgilerini ve sohbet geçmişini görüyordu; aslında başka birine gitmesi gereken ancak iptal edilen bir istek nedeniyle gitmeyen önbellek verileri onlara sunuluyordu. Ayrıca bu yüzden yalnızca aktif olan kullanıcılar etkileniyordu. Uygulamayı kullanmayan kişilerin verileri önbelleğe alınmıyordu.
İşleri gerçekten kötüleştiren şey, 20 Mart sabahı OpenAI'nin sunucusunda yanlışlıkla iptal edilen Redis isteklerinde bir artışa neden olan bir değişiklik yapması ve hatanın birisine ilgisiz bir önbellek döndürme şansını artırmasıydı.
Sorun çözüldü
OpenAI, Redis'in çok özel bir sürümünde ortaya çıkan hatanın şimdi düzeltildiğini ve proje üzerinde çalışan insanların "harika işbirlikçiler" olduğunu söyledi. Ayrıca, bu tür şeylerin tekrarlanmasını önlemek için kendi yazılımında ve uygulamalarında bazı değişiklikler yaptığını, sunulan verilerin gerçekten talep eden kullanıcıya ait olduğundan emin olmak için "yedek kontroller" eklediğini ve Redis kümesinin yüksek yükler altında hata verme olasılığını azalttığını söylüyor.
Bu kontrollerin en başta olması gerektiği ortada, diğer yandan OpenAI'nin bunları şimdi eklemiş olması iyi bir şey. Açık kaynaklı yazılımlar modern web için çok önemli, ancak aynı zamanda kendi zorluklarıyla birlikte geliyor. Çünkü herkes kullanabildiği için, hatalar aynı anda çok sayıda hizmeti ve şirketi etkileyebilir. Ve eğer kötü niyetli bir aktör belirli bir şirketin hangi yazılımı kullandığını biliyorsa, potansiyel olarak bu yazılımı hedef alabilir ve bilerek bir istismar sunmaya çalışabilir. Bunu yapmayı zorlaştıran kontroller var, ancak Google gibi şirketlerin gösterdiği gibi, bunun gerçekleşmediğinden emin olmak ve gerçekleşirse buna hazırlıklı olmak için daha çok çalışmak en iyisi.
