OpenAI подтверждает утечку данных — вот кто пострадал

Кратко

• Mixpanel сообщил, что злоумышленник получил доступ к части его систем и экспортировал метаданные, позволяющие идентифицировать клиентов.
• OpenAI заявила, что никакие подсказки, API-ключи, платежная информация или токены аутентификации не были задействованы.
• Обе компании рассмотрели инцидент, уведомили затронутых пользователей и изложили новые меры безопасности.

Центр искусства, моды и развлечений Decrypt.

Откройте SCENE

В результате утечки данных у аналитического провайдера Mixpanel в начале этого месяца были раскрыты имена аккаунтов, адреса электронной почты и местоположения браузеров некоторых пользователей API OpenAI, подтвердил в среду гигант искусственного интеллекта, что вызывает опасения, что киберпреступники могут использовать украденные метаданные в целенаправленных фишинговых атаках.

Согласно Mixpanel, 8 ноября неизвестный злоумышленник получил доступ к части его систем и экспортировал набор данных, содержащий информацию, позволяющую идентифицировать клиентов, и аналитическую информацию. Украденные данные включали имена пользователей, адреса электронной почты, приблизительное местоположение на основе браузера, операционную систему и данные о браузере.

OpenAI заявила, что утечка не включала запросы пользователей, API-ключи, платежную информацию или токены аутентификации.

Компания заявила, что были утечены только данные пользователей, которые получили доступ к технологиям OpenAI через API — то есть через внешние приложения на базе GPT. Другими словами, если вы получаете доступ к чат-боту ChatGPT напрямую с сайта OpenAI, то вы не будете затронуты в этом случае.

“В рамках нашего расследования безопасности мы удалили Mixpanel из наших производственных служб, проверили затронутые наборы данных и тесно сотрудничаем с Mixpanel и другими партнерами, чтобы полностью понять инцидент и его масштабы,” - говорится в заявлении OpenAI.

Основанная в 2009 году, находящаяся в Сан-Франциско компания Mixpanel является платформой аналитики продуктов, используемой для отслеживания поведения пользователей на веб- и мобильных приложениях. Компания сообщила, что обнаружила кампанию “smishing” и после первоначального расследования и реагирования уведомила OpenAI на следующий день.

“Мы привержены прозрачности и уведомляем всех затронутых клиентов и пользователей,” - сказал OpenAI. “Мы также требуем от наших партнеров и поставщиков соблюдения самых высоких стандартов безопасности и конфиденциальности их услуг.”

Смишинг — это тип фишинговой атаки, проводимой через SMS-сообщения. Согласно отчету октября компании Spacelift, занимающейся управлением инфраструктурой, смишинг составил 39% от всех мобильных угроз в 2024 году.

Mixpanel заявил, что он защитил затронутые аккаунты, аннулировал активные сессии, сменил скомпрометированные учетные данные и заблокировал злонамеренные IP-адреса. Компания также сбросила пароли сотрудников, наняла внешние кибербезопасные фирмы и проверила журналы аутентификации, сессий и экспорта.

После утечки данных Mixpanel заявил, что начал уведомлять затронутых клиентов о произошедшем инциденте.

“Если вы не получили от нас прямого сообщения, это означает, что вы не пострадали,” сказал генеральный директор Mixpanel Джен Тейлор в заявлении. “Мы продолжаем придавать первостепенное значение безопасности как основному принципу нашей компании, продуктов и услуг. Мы обязуемся поддерживать наших клиентов и открыто сообщать о данном инциденте.”

Несмотря на то, что Mixpanel сообщил об инциденте в OpenAI, разработчик ChatGPT заявил, что прекращает сотрудничество с аналитической фирмой. “После изучения этого инцидента OpenAI прекратила использование Mixpanel,” - написали они.

Некоторые клиенты OpenAI выразили свое недовольство в социальных сетях по поводу того, что третья сторона имела доступ к их информации.

“Меня это не очень радует. […] Почему они передали мое имя и адрес электронной почты в Mixpanel?” написал один пользователь в X. “Я всего лишь любитель, пытающийся сделать небольшие эксперименты.”

“Отправка имен и адресов электронной почты OpenAI третьей стороне аналитической платформе (Mixpanel) кажется крайне безответственной,” написал другой.

OpenAI и Mixpanel не сразу ответили на запросы о комментариях от Decrypt.