Des utilisateurs ont pu voir les historiques de conversation, les numéros de téléphone ou encore les informations de paiement d’autres personnes la semaine dernière.
Si vous utilisez ChatGPT, il est possible que vos données personnelles aient fuité. Vendredi, OpenAI est revenu sur l’incident du 20 mars, qui l’a obligé à mettre son chatbot hors ligne. Un bug dans une bibliothèque open source que l’entreprise utilise pour mettre en cache les informations des utilisateurs sur son serveur a permis à certains de voir les données d’autres personnes. Parmi celles exposées figurent notamment des titres de conversations et le premier message d’une nouvelle discussion dans l’historique.
À la suite d’une enquête plus approfondie, OpenAI a découvert que d’autres informations ont fuité. Les données de paiement de certains abonnés à ChatGPT Plus ont en effet été visibles par d’autres à cause de ce bug. L’entreprise précise que seulement 1,2% de ces derniers sont concernés, qui étaient actifs entre 10h et 19h (heure en France) le 20 mars. Ainsi, des utilisateurs ont pu voir leurs nom et prénom, leurs adresses mail et de paiement, mais aussi les quatre derniers chiffres de leur numéro de carte de crédit et la date d’expiration de celle-ci.
Deux scénarios possibles
Selon OpenAI, deux scénarios ont pu entraîner cet affichage des données de paiement. Si un abonné à ChatGPT Plus a cliqué sur « Mon compte », puis sur « Gérer mon abonnement », il a peut-être vu les informations d’un autre utilisateur de la formule payante, actif à ce moment-là. La société indique également que certains mails de confirmation d’abonnement – incluant les quatre derniers chiffres du numéro de carte de crédit d’un abonné – ont été envoyés à la mauvaise personne lors de cet incident. Autrement dit, l’ouverture de ce mail a permis à un utilisateur d’accéder à cette information.
OpenAI précise que dans les deux cas, il est possible que cela se soit produit avant le 20 mars, mais elle n’est pas en mesure de le confirmer. « Nous avons contacté les utilisateurs concernés pour les informer que leurs informations de paiement peuvent avoir été exposées. Nous sommes convaincus qu’il n’y a aucun risque permanent pour les données des utilisateurs », a assuré la société, indiquant que le bug a depuis été corrigé.
