OpenAI подтвердил утечку данных — узнайте, затронуты ли вы

Источник: PortaldoBitcoin Оригинальное название: OpenAI, владелец ChatGPT, подтверждает нарушение данных — узнайте, затронуты ли вы. Оригинальная ссылка: OpenAI (материнская компания ChatGPT) подтвердила, что её аналитический провайдер Mixpanel стал жертвой инцидента безопасности в начале этого месяца, в результате которого были раскрыты некоторые данные пользователей, включая электронные почты и местоположение. Этот инцидент был подтверждён компанией в среду (26 числа) и теперь вызывает опасения о том, что киберпреступники могут использовать украденную информацию для целевых фишинговых атак.

Согласно Mixpanel, 8 ноября злоумышленник получил доступ к части их систем и экспортировал набор данных, содержащий метаданные и аналитическую информацию, которые могут идентифицировать клиентов. Украденные данные включают имена пользователей, адреса электронной почты, приблизительное местоположение на основе браузера, информацию о операционной системе и браузере.

OpenAI заявляет, что этот инцидент с нарушением не включает подсказки пользователей, ключи API, платежную информацию или токены аутентификации.

OpenAI заявила, что утечка данных касалась только пользователей, получивших доступ к технологии через API — то есть через внешние приложения, использующие GPT. Другими словами, если вы получаете доступ к чат-боту ChatGPT напрямую с сайта OpenAI, это вас не затронет.

“В качестве части нашего расследования безопасности мы удалили Mixpanel из производственных служб, проверили затронутые наборы данных и тесно сотрудничаем, чтобы полностью понять это событие и его масштабы,” - говорится в заявлении OpenAI.

Основанная в 2009 году, компания Mixpanel расположена в Сан-Франциско, Калифорния, США, и является платформой для анализа продуктов, предназначенной для отслеживания пользовательского поведения в веб- и мобильных приложениях. Компания сообщила о выявлении активности “smishing” и после первоначального расследования и реагирования на следующий день направила сигнал в OpenAI.

“Мы стремимся к прозрачности и уведомляем всех затронутых клиентов и пользователей,” сказал OpenAI. “Мы также требуем от наших партнеров и поставщиков соблюдения высших стандартов безопасности и конфиденциальности.”

Smishing — это фишинговая атака, осуществляемая через SMS. Согласно недавнему отчету компании по управлению инфраструктурой Spacelift, такие действия составляют 39% всех мобильных угроз в 2024 году.

Mixpanel заявила, что защитила затронутые аккаунты, отозвала активные сессии, заменила скомпрометированные учетные данные и заблокировала вредоносные IP-адреса. Компания также сбросила пароли сотрудников, наняла внешнюю компанию по кибербезопасности и провела проверку аутентификации, сессий и записей экспорта.

После нарушения безопасности Mixpanel заявил, что начал уведомлять затронутых клиентов.

“Если вы не получили наше прямое уведомление, это означает, что вы не пострадали,” заявила генеральный директор Mixpanel Джен Тейлор в своем заявлении. “Мы продолжаем рассматривать безопасность как основной принцип нашей компании, продуктов и услуг. Мы стремимся поддерживать наших клиентов и открыто сообщать о данном инциденте.”

Несмотря на то, что Mixpanel сообщил об инциденте в OpenAI, разработчики ChatGPT заявили о прекращении сотрудничества с этой аналитической компанией. “После анализа инцидента OpenAI прекратил использование Mixpanel,” написали они.

Некоторые клиенты OpenAI обратились к социальным сетям, чтобы выразить свое недовольство тем, что третьи стороны получили доступ к их информации.

“Я совершенно недоволен этим. […] Почему они должны передавать мое имя и адрес электронной почты в Mixpanel?” - написал один из пользователей. “Я всего лишь любитель, пытающийся провести несколько небольших экспериментов.”

“Факт, что OpenAI отправляет имена и адреса электронной почты на третью сторону аналитической платформы (Mixpanel), кажется крайне безответственным,” написал другой пользователь.

OpenAI и Mixpanel не ответили на запросы о комментариях.