OpenAI, ChatGPT’ yi neden çevrim dışı duruma getirdiğine ilişkin yeni ayrıntıları açıkladı ve olay sırasında bazı kullanıcıların ödeme bilgilerinin açığa çıkmış olabileceğini söyledi.
Şirketten gelen bir gönderiye göre redis (Remote Dictionary Server) adlı açık kaynaklı kitaplıktaki bir hata, bazı aktif kullanıcılara ad ve soyadlarıyla birlikte başka bir kullanıcının kredi kartının son dört hanesini ve son kullanma tarihini gösteren bir önbellek sorunu yarattı. Kullanıcılar ayrıca başkalarının sohbet geçmişlerinin bazı kısımlarını da görmüş olabilir.
Şirket, ödeme bilgisi sızıntısının, hizmeti 20 Mart’ta 04:00 ile 13:00 ET arasında kullanan ChatGPT Plus’ın yaklaşık yüzde 1,2’sini etkilemiş olabileceğini söylüyor.
OpenAI’a göre ödeme verilerinin yetkisiz bir kullanıcıya gösterilmesine neden olabilecek iki senaryo var. Bir kullanıcı zaman dilimi içinde Hesabım > Aboneliği yönet ekranına gittiyse, o sırada hizmeti aktif olarak kullanan başka bir ChatGPT Plus kullanıcısının bilgilerini görmüş olabilir. Şirket ayrıca, olay sırasında gönderilen bazı abonelik onay e-postalarının yanlış kişiye gittiğini ve bunların bir kullanıcının kredi kartı numarasının son dört hanesini içerdiğini söylüyor.
Şirket, her iki şeyin de 20 Mart tarihinde önce gerçekleşmesinin mümkün olduğunu, ancak bunun hiç gerçekleşmediğini söylüyor. OpenAI, ödeme bilgilerini ifşa etmiş olabilecek kullanıcılara ulaştı.
Tüm bunların nasıl olduğuna gelince, hata görünüşe göre önbelleğe alma işleminde yaşanan sıkıntıdan oluştu. Şirketin yaptığı açıklamada; Belirli koşullar altında, iptal edilen bir redis isteği, bozuk verilerin farklı bir istek için gönderilmesine neden oldu. Genellikle, uygulama bu verileri alır, “istediğim bu değildi” der ve hata verir.
Ancak diğer kişi aynı türde veriler istiyorsa – örneğin hesap sayfasını yüklemek istiyorsa ve veriler başka birinin hesap bilgileriyse – uygulama her şeyin yolunda olduğuna karar verir ve bunu kişiye gösterir.
Bu nedenle insanlar diğer kullanıcıların ödeme bilgilerini ve sohbet geçmişini görüyordu; aslında başka birine gitmesi gereken ancak iptal edilen bir istek nedeniyle gitmeyen önbellek verileri onlara sunuluyordu. Bu yüzden sadece aktif olan kullanıcıları etkiledi.
OpenAI, Redis’in çok özel bir sürümünde ortaya çıkan hatanın düzeltildiğini ve projede çalışan kişilerin “harika işbirlikçileri” olduğunu söylüyor. Ayrıca, sunulan verilerin gerçekten onu talep eden kullanıcıya ait olduğundan emin olmak için “gereksiz kontroller” eklemek ve bu olasılığı azaltmak da dahil olmak üzere, bu tür şeylerin tekrar olmasını önlemek için kendi yazılımında ve uygulamalarında bazı değişiklikler yaptığını söylüyor.
Açık kaynaklı yazılım, modern web için gereklidir, ancak aynı zamanda kendi zorluklarını da beraberinde getirir; herkes kullanabildiği için hatalar aynı anda çok sayıda hizmeti ve şirketi etkileyebilir. Ayrıca, kötü niyetli bir kişi belirli bir şirketin hangi yazılımı kullandığını bilirse, potansiyel olarak bu yazılımı hedef alarak, bilerek bir açıktan yararlanma girişiminde bulunabilir. Bunu zorlaştıran kontroller var, ancak Google gibi şirketlerin gösterdiği gibi, bunun olmamasını sağlamak için çalışmak ve olursa buna hazırlıklı olmak gerekmekte.
Derleyen: Yavuz Akyol
