会話型AIサービス「ChatGPT」などを展開するOpenAIは現地時間3月24日、有料プラン「ChatGPT Plus」加入者の支払い関連情報などが一部流出した可能性があると発表した。オープンソースライブラリのバグが原因で、現在は修正済み。
流出した可能性があるのはユーザーの姓名、メールアドレス、支払い先、クレジットカード番号の下4桁、クレジットカードの有効期限。クレジットカード番号の全文は流出していない。影響を受けるユーザーにはOpenAIから連絡をとっているという。
OpenAIによれば、3月20日、ChatGPTにおいて一部のユーザーが他のアクティブなユーザーのチャット履歴のタイトルを見られるバグが発生した。同じバグが原因で、特定の9時間内にアクティブだったChatGPT Plus加入者の1.2%の支払い関連情報が表示された可能性があるという。
バグはRedisクライアントのオープンソースライブラリであるredis-pyで発見されたもの。すでに修正パッチがあてられ、現在は修正済み。
OpenAIでは事態の判明後、バグ修正の広範囲なテスト、データ整合性チェックの追加、ログ検証、影響を受けるユーザーの特定と通知、ロギング改善、およびRedisクラスターの堅牢性とスケールの向上などを行なっているという。