OpenAI підтверджує витік даних – ось хто постраждав

У короткому викладі

• Mixpanel повідомила, що зловмисник отримав доступ до частини її систем і експортував метадані, які ідентифікують клієнтів.
• OpenAI заявила, що не було залучено жодних запитів, API-ключів, платіжної інформації або токенів автентифікації.
• Обидві компанії розглянули інцидент, повідомили постраждалих користувачів та окреслили нові заходи безпеки.

Центр мистецтв, моди та розваг Decrypt.

Відкрийте SCENE

Порушення на аналітичному провайдері Mixpanel на початку цього місяця розкрило імена облікових записів, адреси електронної пошти та місцезнаходження браузерів для деяких користувачів API OpenAI, підтвердив в середу гігант ШІ, що викликало занепокоєння, що кіберзлочинці можуть використати вкрадені метадані для цілеспрямованих фішингових атак.

Згідно з Mixpanel, 8 листопада невідомий зловмисник отримав доступ до частини його систем і експортував набір даних, що містить метадані та аналітичну інформацію, що дозволяє ідентифікувати клієнтів. Викрадені дані включали імена користувачів, адреси електронної пошти, приблизне місце розташування на основі браузера, операційну систему та деталі браузера.

OpenAI заявила, що витік не містив запитів користувачів, API-ключів, платіжної інформації або токенів автентифікації.

Тільки дані користувачів, які отримали доступ до технологій OpenAI через API — тобто, через зовнішні додатки на базі GPT — були витікнені, заявила компанія. Іншими словами, якщо ви отримуєте доступ до чат-бота ChatGPT безпосередньо з веб-сайту OpenAI, то ви не підпадете під цей вплив.

“В рамках нашого розслідування безпеки ми видалили Mixpanel з наших виробничих послуг, переглянули постраждалі набори даних і тісно співпрацюємо з Mixpanel та іншими партнерами, щоб повністю зрозуміти інцидент і його обсяг,” - йдеться у заяві OpenAI.

Заснована в 2009 році, компанія Mixpanel, що базується в Сан-Франциско, є платформою аналітики продуктів, яка використовується для відстеження поведінки користувачів на веб- та мобільних додатках. Компанія повідомила, що виявила кампанію “smishing”, і після початкового розслідування та реагування сповістила OpenAI наступного дня.

“Ми зобов'язані дотримуватися прозорості та сповіщаємо всіх постраждалих клієнтів і користувачів,” - сказав OpenAI. “Ми також притягуємо наших партнерів і постачальників до відповідальності за найвищі стандарти безпеки та конфіденційності їхніх послуг.”

Смішинг – це тип фішингової атаки, що здійснюється через SMS-повідомлення. Згідно з жовтневим звітом компанії з управління інфраструктурою Spacelift, смішинг становив 39% усіх мобільних загроз у 2024 році.

Mixpanel заявила, що забезпечила безпеку постраждалих облікових записів, відкликала активні сесії, змінила скомпрометовані облікові дані та заблокувала шкідливі IP-адреси. Компанія також скинула паролі співробітників, найняла зовнішні фірми з кібербезпеки та переглянула журнали аутентифікації, сесій та експорту.

Після порушення Mixpanel заявив, що почав повідомляти постраждалих клієнтів про інцидент.

“Якщо ви не отримали від нас безпосередньо повідомлення, ви не постраждали,” сказала генеральний директор Mixpanel Джен Тейлор у заяві. “Ми продовжуємо надавати пріоритет безпеці як основному принципу нашої компанії, продуктів і послуг. Ми віддані підтримці наших клієнтів і прозорому спілкуванню щодо цього інциденту.”

Незважаючи на те, що Mixpanel повідомив про інцидент OpenAI, розробник ChatGPT заявив, що розриває зв'язки з аналітичною компанією. “Після перегляду цього інциденту OpenAI припинив використання Mixpanel”, - написали вони.

Деякі клієнти OpenAI вийшли в соціальні мережі, щоб висловити своє розчарування через те, що стало відомо про доступ третьої сторони до їхньої інформації.

“Мене це не дуже тішить. […] Чому вони передали моє ім'я та адресу електронної пошти Mixpanel?” – написав один користувач на X. “Я просто аматор, який намагається робити невеликі експерименти.”

“Надсилання імен і електронних адрес OpenAI сторонній аналітичній платформі (Mixpanel) виглядає дуже безвідповідально,” написав інший.

OpenAI та Mixpanel не відповіли на запити про коментарі від Decrypt.