OpenAI確認數據泄露——受影響的對象如下

簡而言之

• Mixpanel表示，攻擊者訪問了其系統的部分內容並導出了客戶可識別的元數據。
• OpenAI表示沒有涉及提示、API密鑰、支付信息或認證令牌。
• 兩家公司審查了事件，通知了受影響的用戶，並概述了新的安全措施。

Decrypt的藝術、時尚與娛樂中心。

深入了解 SCENE

本月早些時候，分析提供商Mixpanel的一個泄露事件暴露了OpenAI API部分用戶的帳戶名稱、電子郵件地址和瀏覽器位置，人工智能巨頭在周三確認此事，引發了人們對網路犯罪分子可能利用被盜元數據進行針對性網絡釣魚攻擊的擔憂。

根據Mixpanel的說法，11月8日，一名未知攻擊者獲得了其系統部分的訪問權限，並導出了包含客戶可識別的元數據和分析信息的數據集。被盜的數據包括用戶名、電子郵件地址、近似的基於瀏覽器的位置、操作系統和瀏覽器詳細信息。

OpenAI表示，此次泄露不包括用戶的提示、API密鑰、支付信息或認證令牌。

公司表示，只有通過 API 訪問 OpenAI 技術的用戶數據被泄露——也就是通過由 GPT 驅動的外部應用程序。如果您直接從 OpenAI 的網站訪問 ChatGPT 聊天機器人，那麼您將不會受到影響。

“作爲我們安全調查的一部分，我們已從生產服務中移除 Mixpanel，審查了受影響的數據集，並與 Mixpanel 及其他合作夥伴密切合作，以全面了解事件及其範圍，” OpenAI 在一份聲明中表示。

成立於2009年的Mixpanel是一款總部位於舊金山的產品分析平台，用於跟蹤用戶在網頁和移動應用中的行爲。該公司表示它檢測到了"smishing"活動，並在初步調查和響應後，次日通知了OpenAI。

“我們致力於保持透明，並通知所有受影響的客戶和用戶，” OpenAI表示。“我們還要求我們的合作夥伴和供應商對其服務的安全性和隱私性承擔最高標準的責任。”

短信釣魚是一種通過短信進行的釣魚攻擊。根據基礎設施管理公司Spacelift在10月發布的報告，短信釣魚在2024年佔所有移動威脅的39%。

Mixpanel表示已確保受影響帳戶的安全，撤回了活躍會話，輪換了被泄露的憑證，並阻止了惡意IP地址。該公司還重置了員工密碼，聘請了外部網路安全公司，並審核了身分驗證、會話和導出日志。

在泄露事件發生後，Mixpanel表示已開始通知受影響的客戶。

“如果您沒有直接收到我們的消息，那麼您沒有受到影響，” Mixpanel 首席執行官 Jen Taylor 在一份聲明中表示。“我們繼續將安全作爲我們公司、產品和服務的核心原則。我們致力於支持我們的客戶，並就此事件進行透明溝通。”

盡管Mixpanel向OpenAI報告了此事件，但ChatGPT的開發者表示將與該分析公司斷絕關係。他們寫道：“在審查此事件後，OpenAI已終止使用Mixpanel。”

一些OpenAI客戶在社交媒體上表達了對第三方服務可以訪問他們信息的揭露感到沮喪。

“我對此並不太滿意。[…] 爲什麼他們要把我的名字和電子郵件地址傳遞給Mixpanel？” 一位用戶在X上寫道。“我只是一個業餘愛好者，試圖做一些小實驗。”

“OpenAI 將姓名和電子郵件發送給第三方分析平台 (Mixpanel) 感覺極其不負責任，” 另一個人寫道。

OpenAI 和 Mixpanel 並未立即回應 Decrypt. 的評論請求。