OpenAI confirme une violation de données - Voici qui est impacté

En bref

• Mixpanel a déclaré qu'un attaquant avait accédé à une partie de ses systèmes et avait exporté des métadonnées identifiables pour les clients.
• OpenAI a déclaré qu'aucune invite, clé API, information de paiement ou jetons d'authentification n'était impliqués.
• Les deux entreprises ont examiné l'incident, informé les utilisateurs concernés et décrit de nouvelles mesures de sécurité.

Le hub d'art, de mode et de divertissement de Decrypt.

Découvrez SCENE

Une violation chez le fournisseur d'analytique Mixpanel plus tôt ce mois-ci a exposé des noms de compte, des adresses e-mail et des emplacements de navigateur pour certains utilisateurs de l'API d'OpenAI, a confirmé mercredi le géant de l'IA, soulevant des inquiétudes selon lesquelles des cybercriminels pourraient utiliser les métadonnées volées dans des tentatives de phishing ciblées.

Selon Mixpanel, le 8 novembre, un attaquant inconnu a eu accès à une partie de ses systèmes et a exporté un ensemble de données contenant des métadonnées et des informations analytiques identifiables par les clients. Les données volées comprenaient des noms d'utilisateur, des adresses e-mail, une localisation approximative basée sur le navigateur, le système d'exploitation et les détails du navigateur.

OpenAI a déclaré que la violation n'incluait pas les invites des utilisateurs, les clés API, les informations de paiement ou les jetons d'authentification.

Seules les données des utilisateurs ayant accédé à la technologie d'OpenAI via l'API — c'est-à-dire, via des applications externes alimentées par GPT — ont été divulguées, a déclaré l'entreprise. En d'autres termes, si vous accédez au chatbot ChatGPT directement depuis le site Web d'OpenAI, vous ne serez pas affecté ici.

« Dans le cadre de notre enquête de sécurité, nous avons retiré Mixpanel de nos services de production, examiné les ensembles de données affectés et travaillons en étroite collaboration avec Mixpanel et d'autres partenaires pour bien comprendre l'incident et son ampleur », a déclaré OpenAI dans un communiqué.

Fondée en 2009, Mixpanel, basé à San Francisco, est une plateforme d'analyse de produits utilisée pour suivre le comportement des utilisateurs sur les applications web et mobiles. L'entreprise a déclaré avoir détecté la campagne de “smishing” et, après une enquête et une réponse initiales, a alerté OpenAI le lendemain.

« Nous nous engageons à la transparence et informons tous les clients et utilisateurs concernés », a déclaré OpenAI. « Nous tenons également nos partenaires et fournisseurs responsables du niveau le plus élevé en matière de sécurité et de confidentialité de leurs services. »

Le smishing est un type d'attaque par phishing réalisée par le biais de messages SMS. Selon un rapport d'octobre de l'entreprise de gestion d'infrastructure Spacelift, le smishing a représenté 39 % de toutes les menaces mobiles en 2024.

Mixpanel a déclaré avoir sécurisé les comptes affectés, révoqué les sessions actives, fait tourner les identifiants compromis et bloqué les adresses IP malveillantes. L'entreprise a également réinitialisé les mots de passe des employés, engagé des entreprises de cybersécurité externes et examiné les journaux d'authentification, de session et d'exportation.

Après la violation, Mixpanel a déclaré avoir commencé à informer les clients concernés de l'incident.

« Si vous n'avez pas eu de nouvelles de notre part directement, cela signifie que vous n'avez pas été impacté », a déclaré la PDG de Mixpanel, Jen Taylor, dans un communiqué. « Nous continuons de donner la priorité à la sécurité comme un principe fondamental de notre entreprise, de nos produits et de nos services. Nous nous engageons à soutenir nos clients et à communiquer de manière transparente sur cet incident. »

Malgré le rapport de l'incident par Mixpanel à OpenAI, le développeur de ChatGPT a déclaré qu'il rompait ses liens avec la société d'analytique. “Après avoir examiné cet incident, OpenAI a mis fin à son utilisation de Mixpanel,” ont-ils écrit.

Certains clients d'OpenAI ont exprimé leur frustration sur les réseaux sociaux à la suite de la révélation qu'un service tiers avait accès à leurs informations.

“Je ne suis pas très heureux à ce sujet. […] Pourquoi ont-ils dû transmettre mon nom et mon adresse e-mail à Mixpanel ?” a écrit un utilisateur sur X. “Je ne suis qu'un amateur essayant de faire de petites expériences.”

“OpenAI envoie des noms et des e-mails à une plateforme d'analyse tierce (Mixpanel) semble extrêmement irresponsable,” a écrit un autre.

OpenAI et Mixpanel n'ont pas immédiatement répondu aux demandes de commentaire de Decrypt.