OpenAI patvirtina duomenų pažeidimą – štai kam tai paveikė

Anksčiau šį mėnesį analitikos tiekėjo „Mixpanel“ pažeidimas atskleidė kai kurių „OpenAI“ API naudotojų paskyrų pavadinimus, el. pašto adresus ir naršyklės vietas, trečiadienį patvirtino dirbtinio intelekto milžinas, sukeldamas susirūpinimą, kad kibernetiniai nusikaltėliai gali panaudoti pavogtus metaduomenis tiksliniams sukčiavimo bandymams.

„Mixpanel“ teigimu, lapkričio 8 d. nežinomas užpuolikas gavo prieigą prie dalies jos sistemų ir eksportavo duomenų rinkinį, kuriame yra klientų identifikuojamų metaduomenų ir analizės informacijos. Pavogti duomenys buvo naudotojų vardai, el. pašto adresai, apytikslė naršyklės vieta, operacinė sistema ir naršyklės informacija.

OpenAI teigė, kad pažeidimas neapėmė vartotojų raginimų, API raktų, mokėjimo informacijos ar autentifikavimo prieigos raktų.

Bendrovė pranešė, kad buvo nutekinti tik duomenys iš vartotojų, kurie „OpenAI“ technologiją pasiekė per API, dar vadinamą išorinėmis programėlėmis, kurias maitina GPT. Kitaip tariant, jei „ChatGPT“ pokalbių robotą pasieksite tiesiai iš „OpenAI“ svetainės, čia jums tai nepaveiks.

„Atlikdami saugumo tyrimą pašalinome „Mixpanel“ iš savo gamybos paslaugų, peržiūrėjome paveiktus duomenų rinkinius ir glaudžiai bendradarbiaujame su „Mixpanel“ ir kitais partneriais, kad suprastume incidentą ir jo apimtį“, – teigiama OpenAI pranešime.

Įkurta 2009 m., San Franciske įsikūrusi „Mixpanel“ yra produktų analizės platforma, naudojama vartotojų elgsenai žiniatinklio ir mobiliosiose programose stebėti. Bendrovė teigė aptikusi „smaugių“ kampaniją, o po pirminio tyrimo ir atsakymo kitą dieną įspėjo „OpenAI“.

„Esame įsipareigoję siekti skaidrumo ir informuojame visus paveiktus klientus ir vartotojus“, – sakė OpenAI. „Mes taip pat laikome savo partnerių ir pardavėjų atsakingus už aukščiausią jų paslaugų saugumo ir privatumo ribą.

Smishing yra sukčiavimo ataka, vykdoma SMS žinutėmis. Remiantis infrastruktūros valdymo bendrovės „Spacelift“ spalio mėn. ataskaita, 2024 m. 39% visų mobiliųjų telefonų grėsmių kilo.

„Mixpanel“ teigė, kad apsaugojo paveiktas paskyras, atšaukė aktyvius seansus, pakeitė pažeistus kredencialus ir užblokavo kenkėjiškus IP adresus. Bendrovė taip pat iš naujo nustatė darbuotojų slaptažodžius, pasamdė išorines kibernetinio saugumo įmones ir peržiūrėjo autentifikavimo, seansų ir eksporto žurnalus.

Po pažeidimo „Mixpanel“ teigė, kad apie incidentą pradėjo informuoti paveiktus klientus.

„Jei negirdėjote iš mūsų tiesiogiai, tai nepaveikė“, – pranešime teigė „Mixpanel“ generalinė direktorė Jen Taylor. „Mes ir toliau teikiame pirmenybę saugumui kaip pagrindiniam mūsų įmonės, produktų ir paslaugų principui. Esame įsipareigoję remti savo klientus ir skaidriai informuoti apie šį incidentą.”

Nepaisant to, kad „Mixpanel“ pranešė apie incidentą „OpenAI“, „ChatGPT“ kūrėjas teigė nutraukiantis ryšius su analizės įmone. „Peržiūrėjęs šį incidentą, OpenAI nutraukė „Mixpanel“ naudojimą“, – rašė jie.

Kai kurie „OpenAI“ klientai kreipėsi į socialinę žiniasklaidą, norėdami išreikšti nusivylimą, kai paaiškėjo, kad trečiosios šalies paslauga turi prieigą prie jų informacijos.

„Nelabai tuo džiaugiuosi. (…) Kodėl jie turėjo perduoti „Mixpanel“ mano vardą ir el. pašto adresą? vienas naudotojas parašė X. „Aš tik mėgėjas, bandantis atlikti nedidelius eksperimentus“.

„OpenAI siuntimas vardus ir el. laiškus trečiosios šalies analizės platformai („Mixpanel“) jaučiasi nepaprastai neatsakingai“, – rašė kitas.

„OpenAI“ ir „Mixpanel“ iš karto neatsakė į komentarų užklausas Iššifruoti.