OpenAI Confirma Brecha de Datos—Aquí Está Quiénes Están Afectados

En breve

• Mixpanel dijo que un atacante accedió a parte de sus sistemas y exportó metadatos identificables de clientes.
• OpenAI dijo que no se involucraron mensajes, claves API, información de pago ni tokens de autenticación.
• Ambas empresas revisaron el incidente, notificaron a los usuarios afectados y delinearon nuevos pasos de seguridad.

El centro de arte, moda y entretenimiento de Decrypt.

Descubre SCENE

Una violación en el proveedor de análisis Mixpanel a principios de este mes expuso nombres de cuentas, direcciones de correo electrónico y ubicaciones de navegador de algunos usuarios de la API de OpenAI, confirmó el gigante de la IA el miércoles, lo que genera preocupaciones de que los ciberdelincuentes podrían utilizar los metadatos robados en intentos de phishing dirigidos.

Según Mixpanel, el 8 de noviembre, un atacante desconocido accedió a parte de sus sistemas y exportó un conjunto de datos que contenía metadatos e información analítica identificable de clientes. Los datos robados incluían nombres de usuario, direcciones de correo electrónico, ubicación basada en el navegador aproximada, sistema operativo y detalles del navegador.

OpenAI dijo que la violación no incluía las solicitudes de los usuarios, claves de API, información de pago ni tokens de autenticación.

Solo se filtraron los datos de los usuarios que accedieron a la tecnología de OpenAI a través de la API—es decir, a través de aplicaciones externas impulsadas por GPT—dijo la empresa. En otras palabras, si accedes al chatbot de ChatGPT directamente desde el sitio web de OpenAI, entonces no te verás afectado aquí.

“Como parte de nuestra investigación de seguridad, eliminamos Mixpanel de nuestros servicios de producción, revisamos los conjuntos de datos afectados y estamos trabajando en estrecha colaboración con Mixpanel y otros socios para comprender completamente el incidente y su alcance,” dijo OpenAI en un comunicado.

Fundada en 2009, Mixpanel, con sede en San Francisco, es una plataforma de análisis de productos utilizada para rastrear el comportamiento del usuario a través de aplicaciones web y móviles. La empresa dijo que detectó la campaña de “smishing” y, después de una investigación y respuesta inicial, alertó a OpenAI al día siguiente.

“Estamos comprometidos con la transparencia y estamos notificando a todos los clientes y usuarios afectados”, dijo OpenAI. “También hacemos responsables a nuestros socios y proveedores por el más alto estándar de seguridad y privacidad de sus servicios.”

El smishing es un tipo de ataque de phishing realizado a través de mensajes SMS. Según un informe de octubre de la compañía de gestión de infraestructura Spacelift, el smishing representó el 39% de todas las amenazas móviles en 2024.

Mixpanel dijo que aseguró las cuentas afectadas, revocó las sesiones activas, rotó las credenciales comprometidas y bloqueó las direcciones IP maliciosas. La empresa también restableció las contraseñas de los empleados, contrató firmas externas de ciberseguridad y revisó los registros de autenticación, sesión y exportación.

Después de la violación, Mixpanel dijo que comenzó a notificar a los clientes afectados sobre el incidente.

“Si no has recibido noticias de nosotros directamente, no fuiste afectado,” dijo la CEO de Mixpanel, Jen Taylor, en un comunicado. “Continuamos priorizando la seguridad como un principio fundamental de nuestra empresa, productos y servicios. Estamos comprometidos a apoyar a nuestros clientes y a comunicarnos de manera transparente sobre este incidente.”

A pesar del informe de Mixpanel sobre el incidente a OpenAI, el desarrollador de ChatGPT dijo que estaba rompiendo lazos con la firma de análisis. “Después de revisar este incidente, OpenAI ha terminado su uso de Mixpanel,” escribieron.

Algunos clientes de OpenAI se dirigieron a las redes sociales para expresar su frustración con la revelación de que un servicio de terceros tenía acceso a su información.

“No estoy muy feliz con esto. […] ¿Por qué tuvieron que pasar mi nombre y dirección de correo electrónico a Mixpanel?” escribió un usuario en X. “Solo soy un aficionado tratando de hacer pequeños experimentos.”

“OpenAI enviar nombres y correos electrónicos a una plataforma de análisis de terceros (Mixpanel) se siente extremadamente irresponsable,” escribió otro.

OpenAI y Mixpanel no respondieron de inmediato a las solicitudes de comentarios de Decrypt.