OpenAIは3月24日、「March 20 ChatGPT outage: Here’s what happened」において、2023年3月20日(太平洋時間)のごく短時間の間にChatGPTの有料プランである「ChatGPT Plus」を利用している一部のユーザーの個人情報が流出した可能性があることを明らかにした。

問題はサードパーティ製ツールのバグの影響によって発生し、一部のユーザーの氏名やメールアドレス、支払い先住所、クレジットカード番号の下4桁と有効期限が、別なユーザーに表示されていたという。

  • March 20 ChatGPT outage: Here’s what happened

    March 20 ChatGPT outage: Here’s what happened

OpenAIによれば、該当する期間中に次のいずれかのアクションを行った場合、自分のユーザー情報の代わりに他のユーザーの情報が表示された可能性があるという。

  • 太平洋時間の3月20日午前1時から午前10時の間に送信されたサブスクリプション確認メールを開いた場合
  • 太平洋時間の3月20日午前1時から午前10時の間に、ChatGPTで「My Account」→「Manage my subscription」をクリックしてアカウント情報を表示した場合

この問題で他のユーザーに個人情報が表示されたユーザーは、ChatGPT Plusの全ユーザの約1.2%で、既に影響を受けた可能性のある全ユーザーに連絡が行われている。また、この問題と同時に、一部のユーザーのChatGPTのチャット履歴に、別のユーザーのチャット履歴が表示されてしまう問題も発生していたとのこと。

OpenAIは、今回の問題はインメモリデータベース「Redis」のクライアントライブラリである「redis-py」のバグが原因で発生したと説明している。OpenAIは発見したバグを修正してChatGPTのシステムをテストし、Redisのメンテナーにバグの発見を伝えた上でパッチの提供を行ったという。実施した対策については、同社のレポート内で詳しく説明されている。