ChatGPTの障害、Redisクライアントライブラリのバグでデータ不整合、情報漏えいが発生：Redisコミュニティーでも議論に

OpenAIは2023年3月24日（米国時間、以下同）、2023年3月20日に発生した障害に関する分析報告を同社公式サイトに掲載した。Redisクライアントのオープンソースライブラリ「redis-py」にあったバグによるデータ不整合が発生し、ChatGPTユーザーの投稿内容やクレジットカード情報の一部が意図せず別のユーザーに漏えいした。

[＠IT]

　OpenAIは2023年3月24日（米国時間、以下同）、2023年3月20日に発生したChatGPTプラットフォームの障害に関する分析報告を、同社公式サイトに掲載した。

　OpenAIによると、障害発生により、一部のユーザーが、他のアクティブなユーザーのチャット履歴のタイトルを確認できた可能性があった。また新しく作成された会話の最初のメッセージが、他のユーザーのチャット履歴に表示されていた可能性があった。

　また2023年3月20日内にアクティブだったChatGPT Plusユーザーの1.2％の氏名、メールアドレス、決済手段、クレジットカード番号の下4桁、クレジットカードの有効期限が意図せず他のユーザーに表示された可能性もあるとしている。

　OpenAIは、漏えいした可能性のある情報にアクセスできた条件、経路として以下の2点を挙げている。なお、3月20日以前における漏えいの事実は確認できていないとしている。

• 3月20日午前1時〜午前10時の間に送信された購読確認メールの一部が誤って別のユーザーに送信されている。これにより他のユーザーのクレジットカード番号の下4桁が確認できた可能性がある
• 3月20日午前1時〜午前10時の間に、ChatGPTの管理画面で「購読を管理」をクリックすると、他のアクティブなChatGPT Plusユーザーの氏名、メールアドレス、支払先、クレジットカード番号の下4桁、クレジットカードの有効期限が表示されていた可能性がある

Redisクライアントのバグでデータ不整合→障害に

　OpenAIは調査の結果、ChatGPTを提供するため利用していたRedisクライアントのOSS（オープンソースソフトウェア）ライブラリである「redis-py」（v4.5.3以前）のバグが原因だったことを明らかにした。