Недавно обнаружено, что чаты ChatGPT, созданные с использованием публичных ссылок, индексируются поисковиками, такими как Google, что делает конфиденциальную информацию — включая пароли, API-ключи и корпоративные данные — доступной для всех.
Как работает уязвимость
Проблема связана с функцией создания публичных ссылок на чаты в ChatGPT. Как выяснилось, если пользователь создает уникальную URL-ссылку для совместного доступа к разговору и не ограничивает ее доступ, этот чат становится публичным и попадает в индекс поисковых систем. Поисковые запросы вроде site:https://chatgpt.com/share/ api key или site:https://chatgpt.com/share/ password позволяют найти чаты, содержащие чувствительную информацию. Среди обнаруженного контента — токены OpenAI API, административные учетные данные и даже бизнес-планы, которыми пользователи поделились. Как отметил @pakhandrin, достаточно ввести в Google соответствующий запрос, чтобы получить доступ к чужим чатам. Это стало возможным из-за того, что OpenAI не информирует пользователей о том, что создание ссылки автоматически делает чат общедоступным, если не приняты дополнительные меры защиты.
@pakhandrin предложил срочные шаги для защиты данных:
Зайти в настройки ChatGPT → «Data controls» → «Shared links».
Удалить все публичные ссылки на чаты, содержащие важную информацию.
Избегать создания публичных ссылок на конфиденциальные данные.
Источник: habr.com