OpenAI Mengonfirmasi Kebocoran Data—Inilah Siapa yang Terkena Dampak

Singkatnya

• Mixpanel mengatakan seorang penyerang mengakses sebagian sistemnya dan mengekspor metadata yang dapat mengidentifikasi pelanggan.
• OpenAI mengatakan tidak ada permintaan, kunci API, informasi pembayaran, atau token otentikasi yang terlibat.
• Kedua perusahaan meninjau insiden tersebut, memberi tahu pengguna yang terkena dampak, dan merinci langkah-langkah keamanan baru.

Pusat Seni, Mode, dan Hiburan Decrypt.

Temukan SCENE

Pelanggaran di penyedia analitik Mixpanel awal bulan ini mengekspos nama akun, alamat email, dan lokasi peramban untuk beberapa pengguna API OpenAI, konfirmasi raksasa AI tersebut pada hari Rabu, meningkatkan kekhawatiran bahwa penjahat siber dapat menggunakan metadata yang dicuri dalam upaya phishing yang ditargetkan.

Menurut Mixpanel, pada 8 November, seorang penyerang yang tidak dikenal berhasil mengakses sebagian dari sistemnya dan mengekspor dataset yang berisi metadata dan informasi analitik yang dapat mengidentifikasi pelanggan. Data yang dicuri termasuk nama pengguna, alamat email, lokasi berbasis browser yang kira-kira, sistem operasi, dan rincian browser.

OpenAI mengatakan bahwa pelanggaran tersebut tidak termasuk permintaan pengguna, kunci API, informasi pembayaran, atau token otentikasi.

Hanya data dari pengguna yang mengakses teknologi OpenAI melalui API—alias, melalui aplikasi eksternal yang didukung oleh GPT—yang bocor, kata perusahaan tersebut. Dengan kata lain, jika Anda mengakses chatbot ChatGPT langsung dari situs web OpenAI, maka Anda tidak akan terpengaruh di sini.

“Sebagai bagian dari investigasi keamanan kami, kami menghapus Mixpanel dari layanan produksi kami, meninjau dataset yang terpengaruh, dan bekerja sama dengan Mixpanel serta mitra lainnya untuk sepenuhnya memahami insiden dan cakupannya,” kata OpenAI dalam sebuah pernyataan.

Didirikan pada tahun 2009, Mixpanel yang berbasis di San Francisco adalah platform analitik produk yang digunakan untuk melacak perilaku pengguna di aplikasi web dan seluler. Perusahaan mengatakan bahwa mereka mendeteksi kampanye “smishing”, dan setelah penyelidikan dan respons awal, memberi tahu OpenAI keesokan harinya.

“Kami berkomitmen untuk transparansi, dan memberitahukan semua pelanggan dan pengguna yang terpengaruh,” kata OpenAI. “Kami juga meminta mitra dan vendor kami untuk mempertanggungjawabkan standar tertinggi dalam keamanan dan privasi layanan mereka.”

Smishing adalah jenis serangan phishing yang dilakukan melalui pesan SMS. Menurut laporan Oktober oleh perusahaan manajemen infrastruktur Spacelift, smishing menyumbang 39% dari semua ancaman seluler pada tahun 2024.

Mixpanel mengatakan telah mengamankan akun yang terpengaruh, mencabut sesi aktif, memutar kredensial yang terkompromikan, dan memblokir alamat IP yang berbahaya. Perusahaan juga mereset kata sandi karyawan, menyewa perusahaan keamanan siber eksternal, dan meninjau otentikasi, sesi, serta log ekspor.

Setelah pelanggaran, Mixpanel mengatakan bahwa mereka mulai memberi tahu pelanggan yang terdampak tentang insiden tersebut.

“Jika Anda belum mendengar dari kami secara langsung, Anda tidak terpengaruh,” kata CEO Mixpanel Jen Taylor dalam sebuah pernyataan. “Kami terus memprioritaskan keamanan sebagai prinsip utama perusahaan, produk, dan layanan kami. Kami berkomitmen untuk mendukung pelanggan kami dan berkomunikasi secara transparan tentang insiden ini.”

Meskipun Mixpanel melaporkan insiden tersebut kepada OpenAI, pengembang ChatGPT mengatakan bahwa mereka memutuskan hubungan dengan perusahaan analitik itu. “Setelah meninjau insiden ini, OpenAI telah menghentikan penggunaan Mixpanel,” tulis mereka.

Beberapa pelanggan OpenAI menggunakan media sosial untuk mengungkapkan frustrasi mereka dengan pengungkapan bahwa layanan pihak ketiga memiliki akses ke informasi mereka.

“Saya tidak senang dengan ini. […] Kenapa mereka harus memberikan nama dan alamat email saya kepada Mixpanel?” tulis seorang pengguna di X. “Saya hanya seorang hobiis yang mencoba melakukan eksperimen kecil.”

“OpenAI mengirimkan nama dan email ke platform analitik pihak ketiga (Mixpanel) terasa sangat tidak bertanggung jawab,” tulis yang lain.

OpenAI dan Mixpanel tidak segera menanggapi permintaan komentar dari Decrypt.