OpenAI تؤكد حدوث خرق للبيانات - إليك من المتأثر

باختصار

• قالت ميكس بانل إن مهاجمًا وصل إلى جزء من أنظمتها وقام بتصدير بيانات تعريف العملاء.
• قالت OpenAI إنه لم يتم استخدام أي مطالبات أو مفاتيح API أو معلومات دفع أو رموز مصادقة.
• استعرضت الشركتان الحادثة، وأبلغتا المستخدمين المتأثرين، وحددتا خطوات الأمان الجديدة.

مركز فنون الموضة والترفيه في Decrypt.

اكتشف SCENE

أدى اختراق في مزود التحليلات Mixpanel في وقت سابق من هذا الشهر إلى كشف أسماء الحسابات وعناوين البريد الإلكتروني ومواقع المتصفح لبعض مستخدمي واجهة برمجة التطبيقات الخاصة بـ OpenAI، حيث أكدت عملاق الذكاء الاصطناعي ذلك يوم الأربعاء، مما أثار القلق من أن المجرمين الإلكترونيين يمكنهم استخدام البيانات المسروقة في محاولات تصيد مستهدفة.

وفقًا لمكس بانل، في 8 نوفمبر، تمكن هجوم غير معروف من الوصول إلى جزء من أنظمتها وقام بتصدير مجموعة بيانات تحتوي على بيانات تعريف العملاء ومعلومات التحليلات. وشملت البيانات المسروقة أسماء المستخدمين وعناوين البريد الإلكتروني والموقع التقريبي المستند إلى المتصفح ونظام التشغيل وتفاصيل المتصفح.

قالت OpenAI إن الاختراق لم يتضمن مطالبات المستخدمين أو مفاتيح API أو معلومات الدفع أو رموز المصادقة.

قالت الشركة إن البيانات المسربة كانت فقط من المستخدمين الذين وصلوا إلى تقنية OpenAI عبر واجهة برمجة التطبيقات - أي، عبر التطبيقات الخارجية المدعومة بـ GPT. بعبارة أخرى، إذا كنت تصل إلى الدردشة ChatGPT مباشرة من موقع OpenAI، فلن تتأثر هنا.

“كجزء من تحقيقنا الأمني، قمنا بإزالة Mixpanel من خدمات الإنتاج لدينا، واستعرضنا مجموعات البيانات المتأثرة، ونعمل بشكل وثيق مع Mixpanel وشركاء آخرين لفهم الحادث ومدى تأثيره بشكل كامل،” قالت OpenAI في بيان.

تأسست شركة ميكس بانيل في عام 2009، وهي منصة لتحليل المنتجات تتخذ من سان فرانسيسكو مقراً لها وتستخدم لتتبع سلوك المستخدم عبر تطبيقات الويب والهواتف المحمولة. قالت الشركة إنها اكتشفت حملة “سمشينغ”، وبعد تحقيق أولي واستجابة، أبلغت شركة أوبن إيه آي في اليوم التالي.

“نحن ملتزمون بالشفافية، ونقوم بإخطار جميع العملاء والمستخدمين المتأثرين،” قالت OpenAI. “كما أننا نحمّل شركاءنا ومورّدينا المسؤولية لتحقيق أعلى معايير الأمان والخصوصية لخدماتهم.”

الهجمات النصية هي نوع من هجمات التصيد الاحتيالي التي تتم من خلال رسائل SMS. وفقًا لتقرير أكتوبر من شركة إدارة البنية التحتية Spacelift، شكلت الهجمات النصية 39% من جميع التهديدات المحمولة في عام 2024.

قالت Mixpanel إنها أمنت الحسابات المتأثرة، وألغت الجلسات النشطة، وأعادت تدوير بيانات الاعتماد المخترقة، وكتبت عناوين IP الخبيثة. كما قامت الشركة بإعادة تعيين كلمات مرور الموظفين، وتوظيف شركات الأمن السيبراني الخارجية، ومراجعة سجلات المصادقة والجلسات والتصدير.

بعد الاختراق، قالت ميكس بانل إنها بدأت في إشعار العملاء المتأثرين بالحادثة.

“إذا لم تسمع منا مباشرة، فأنت لم تتأثر”، قالت الرئيسة التنفيذية لشركة Mixpanel، جين تايلور، في بيان. “نواصل إعطاء الأولوية للأمان كركيزة أساسية لشركتنا ومنتجاتنا وخدماتنا. نحن ملتزمون بدعم عملائنا والتواصل بشفافية بشأن هذه الحادثة.”

على الرغم من تقارير Mixpanel عن الحادث إلى OpenAI، قالت مطورة ChatGPT إنها ستقطع العلاقات مع شركة التحليلات. “بعد مراجعة هذا الحادث، أنهت OpenAI استخدام Mixpanel”، كتبوا.

أعرب بعض عملاء OpenAI على وسائل التواصل الاجتماعي عن إحباطهم من الكشف عن أن خدمة طرف ثالث كانت لديها إمكانية الوصول إلى معلوماتهم.

“لست سعيدًا جدًا بشأن هذا. […] لماذا كان عليهم تمرير اسمي وعنوان بريدي الإلكتروني إلى Mixpanel؟” كتب أحد المستخدمين على X. “أنا مجرد هاوٍ أحاول إجراء تجارب صغيرة.”

“إرسال OpenAI للأسماء والبريد الإلكتروني إلى منصة تحليلات طرف ثالث (Mixpanel) يبدو غير مسؤول بشكل wild,” كتب آخر.

لم تستجب OpenAI و Mixpanel على الفور لطلبات التعليق من Decrypt.