OpenAI Confirma Violação de Dados—Aqui Está Quem Está Afetado

Em resumo

• A Mixpanel afirmou que um atacante acedeu a parte dos seus sistemas e exportou metadados identificáveis de clientes.
• A OpenAI disse que não foram envolvidos prompts, chaves de API, informações de pagamento ou tokens de autenticação.
• Ambas as empresas analisaram o incidente, notificaram os usuários afetados e delinearam novas etapas de segurança.

Hub de Arte, Moda e Entretenimento da Decrypt.

Descubra SCENE

Uma violação na fornecedora de análises Mixpanel no início deste mês expôs nomes de contas, endereços de e-mail e localizações de navegadores para alguns usuários da API da OpenAI, confirmou o gigante da IA na quarta-feira, levantando preocupações de que cibercriminosos poderiam usar os metadados roubados em tentativas de phishing direcionadas.

De acordo com a Mixpanel, no dia 8 de novembro, um atacante desconhecido obteve acesso a parte dos seus sistemas e exportou um conjunto de dados contendo metadados identificáveis de clientes e informações analíticas. Os dados roubados incluíam nomes de utilizador, endereços de e-mail, localização aproximada baseada em navegador, sistema operativo e detalhes do navegador.

A OpenAI afirmou que a violação não incluiu os prompts dos usuários, chaves de API, informações de pagamento ou tokens de autenticação.

Apenas os dados de usuários que acessaram a tecnologia da OpenAI via a API—ou seja, através de aplicativos externos alimentados por GPT—foram vazados, disse a empresa. Em outras palavras, se você acessar o chatbot ChatGPT diretamente do site da OpenAI, então você não será afetado aqui.

“Como parte da nossa investigação de segurança, removemos o Mixpanel dos nossos serviços de produção, revisamos os conjuntos de dados afetados e estamos a trabalhar em estreita colaboração com o Mixpanel e outros parceiros para compreender totalmente o incidente e o seu alcance,” disse a OpenAI em um comunicado.

Fundada em 2009, a Mixpanel, com sede em São Francisco, é uma plataforma de análise de produtos usada para rastrear o comportamento do usuário em aplicações web e móveis. A empresa disse que detectou a campanha de “smishing” e, após uma investigação e resposta iniciais, alertou a OpenAI no dia seguinte.

“Estamos comprometidos com a transparência e estamos notificando todos os clientes e usuários afetados”, disse a OpenAI. “Também responsabilizamos nossos parceiros e fornecedores pelo mais alto padrão de segurança e privacidade de seus serviços.”

Smishing é um tipo de ataque de phishing realizado através de mensagens SMS. De acordo com um relatório de outubro da empresa de gestão de infraestrutura Spacelift, o smishing representou 39% de todas as ameaças móveis em 2024.

A Mixpanel afirmou que garantiu as contas afetadas, revogou sessões ativas, rodou credenciais comprometidas e bloqueou endereços IP maliciosos. A empresa também redefiniu as senhas dos funcionários, contratou empresas de cibersegurança externas e revisou os logs de autenticação, sessão e exportação.

Após a violação, a Mixpanel disse que começou a notificar os clientes afetados sobre o incidente.

“Se você não recebeu notícias nossas diretamente, você não foi impactado,” disse a CEO da Mixpanel, Jen Taylor, em um comunicado. “Continuamos a priorizar a segurança como um princípio fundamental de nossa empresa, produtos e serviços. Estamos comprometidos em apoiar nossos clientes e comunicar de forma transparente sobre este incidente.”

Apesar do relatório do incidente da Mixpanel à OpenAI, o desenvolvedor do ChatGPT afirmou que estava cortando laços com a empresa de análises. “Após revisar este incidente, a OpenAI encerrou sua utilização da Mixpanel,” escreveram.

Alguns clientes da OpenAI recorreram às redes sociais para expressar frustração com a revelação de que um serviço de terceiros tinha acesso às suas informações.

“Não estou muito feliz com isso. […] Por que tiveram que passar o meu nome e endereço de e-mail para a Mixpanel?” escreveu um usuário no X. “Sou apenas um hobbyista tentando fazer pequenos experimentos.”

“OpenAI enviar nomes e e-mails para uma plataforma de análise de terceiros (Mixpanel) parece extremamente irresponsável,” escreveu outro.

A OpenAI e a Mixpanel não responderam imediatamente aos pedidos de comentário da Decrypt.