El pasado lunes 20 de marzo, el popular chatbot ChatGPT se vio sometido a una interrupción de servicio por parte de OpenAI para solucionar un problema de seguridad del que, al principio, se sabía permitía a los usuarios ver títulos del historial de chat de otros usuarios activos, además del primer mensaje de una conversación recién creada, que se podía hacer visible en el historial de chat de otra persona si ambos usuarios estaban activos al mismo tiempo.
A posterioridad, y una vez subsanado el error, se descubrió también que el mismo error pudo haber causado la visibilidad de información relacionada con los pagos de aproximadamente el 1,2% de los suscriptores de ChatGPT Plus, que estuvieron activos durante una ventana de nueve horas. Durante las horas previas al apagón de ChatGPT, algunos usuarios pudieron ver el nombre y apellido, la dirección de correo electrónico, dirección de pago, los últimos cuatro dígitos del número de tarjeta de crédito y su fecha de vencimiento, aunque no el número completo de la tarjeta.
Ante esto, el equipo de OpenAI decidió desconectar temporalmente el servicio para solucionar el problema. Al restablecerlo, los usuarios tardaron algunas horas en poder recuperar su historial de chats.
La firma ha publicado detalles técnicos del problema, que achaca a un error ubicado en la librería Redis-py, de código abierto y utilizada por ChatGPT para almacenar en caché la información de los usuarios en el servidor.
Concretamente, consiste en que cuando una solicitud es cancelada después de ser enviada pero antes de recibir una respuesta, la conexión se corrompe y la siguiente respuesta puede recibir datos dejados por otra solicitud. Este problema solo se produjo en el cliente Asyncio Redis-py para Redis Cluster, y desde OpenAI indican que ya lo han corregido.
Desde la compañía también afirman que el número de usuarios cuyos datos fueron revelados a otra persona es extremadamente bajo, ya que para acceder a dicha información, un suscriptor de ChatGPT Plus habría tenido que abrir un correo electrónico de confirmación de suscripción enviado el lunes 20 de marzo entre la 1 y las 10 AM hora del Pacífico, o hacer clic en "Mi cuenta" y luego en "Administrar mi suscripción" en ChatGPT durante el mismo período.
Desde OpenAI también han notificado esta eventualidad a los usuarios afectados, así como los han tranquilizado afirmando que una vez corregido el problema, no se esperan futuras brechas de seguridad, al menos por la misma vía.