خرق البيانات في ChatGPT و Mixpanel: ما الذي حدث

لم يكن الاختراق في أنظمة OpenAI، بل في Mixpanel، وهو مزود تحليلات خارجي.
تأثر فقط المستخدمون الذين يستخدمون واجهة برمجة التطبيقات على platform.openai.com، وخاصة المطورين والشركات.
تم الكشف عن البيانات التعريفية والفنية، ولكن ليس الدردشات أو كلمات المرور أو مفاتيح API أو معلومات الدفع.
قطعت شركة OpenAI علاقاتها مع Mixpanel، وتقوم بمراجعة جميع مقدمي الخدمة لديها، وتوصي باتخاذ احتياطات إضافية ضد التصيد الاحتيالي.

المستخدمين شات جي بي تي في الساعات القليلة الماضية، تلقوا رسالة إلكترونية أثارت أكثر من دهشة: تُبلغ شركة OpenAI عن خرق للبيانات مرتبط بمنصة API الخاصة بهاوقد وصل التحذير إلى جمهور كبير، بما في ذلك الأشخاص الذين لم يتأثروا بشكل مباشر، وهو ما تسبب في بعض الارتباك حول النطاق الفعلي للحادث.

ما أكدته الشركة هو أنه كان هناك الوصول غير المصرح به إلى معلومات بعض العملاءلكن المشكلة لم تكن مع خوادم OpenAI، بل مع... Mixpanel، وهو مزود تحليلات ويب تابع لجهة خارجية يجمع مقاييس استخدام واجهة برمجة التطبيقات في platform.openai.comورغم ذلك، فإن هذه القضية تعيد المسألة إلى الواجهة. نقاش حول كيفية إدارة البيانات الشخصية في خدمات الذكاء الاصطناعي، أيضًا في أوروبا وتحت مظلة RGPD.

خطأ في Mixpanel، وليس في أنظمة OpenAI

فشل Mixpanel وChatGPT

وكما ذكرت شركة OpenAI في بيانها، فقد نشأ الحادث في نوفمبر 9عندما اكتشف Mixpanel أن المهاجم قد حصل على حق الوصول الوصول غير المصرح به إلى جزء من البنية التحتية الخاصة به وقد صدّرت مجموعة بيانات استُخدمت للتحليل. خلال تلك الأسابيع، أجرى البائع تحقيقًا داخليًا لتحديد المعلومات التي تم اختراقها.

بمجرد أن أصبح Mixpanel أكثر وضوحًا، أبلغت OpenAI رسميًا في 25 نوفمبرإرسال مجموعة البيانات المتأثرة حتى تتمكن الشركة من تقييم التأثير على عملائها. حينها فقط بدأت OpenAI في ربط البيانات، قم بتحديد الحسابات المحتملة المتورطة وقم بإعداد إشعارات البريد الإلكتروني التي تصل هذه الأيام إلى آلاف المستخدمين حول العالم.

تصر شركة OpenAI على أن لم يكن هناك أي اختراق لخوادمهم أو تطبيقاتهم أو قواعد بياناتهملم يتمكن المهاجم من الوصول إلى ChatGPT أو الأنظمة الداخلية للشركة، بل إلى بيئة مزود الخدمة الذي كان يجمع بيانات التحليلات. ومع ذلك، بالنسبة للمستخدم النهائي، فإن النتيجة العملية واحدة: انتهى المطاف ببعض بياناته في مكان لا ينبغي أن يكون فيه.

تندرج هذه الأنواع من السيناريوهات ضمن ما يُعرف في مجال الأمن السيبراني بالهجوم على سلسلة التوريد الرقميةبدلاً من مهاجمة المنصة الرئيسية بشكل مباشر، يستهدف المجرمون جهة خارجية تتعامل مع البيانات من تلك المنصة وغالبًا ما تكون ضوابط الأمان الخاصة بها أقل صرامة.

المادة ذات الصلة:

ما هي البيانات التي تجمعها مساعدات الذكاء الاصطناعي وكيفية حماية خصوصيتك

أي المستخدمين تأثروا فعليًا؟

خرق بيانات chatgpt

من أكثر النقاط إثارةً للشكوك هو من يجب أن يكون معنيًا حقًا. في هذه النقطة، كانت OpenAI واضحةً تمامًا: تؤثر الفجوة فقط على أولئك الذين يستخدمون واجهة برمجة التطبيقات OpenAI من خلال الويب platform.openai.comوهذا هو، في المقام الأول المطورين والشركات والمنظمات التي تدمج نماذج الشركة في تطبيقاتها وخدماتها الخاصة.

المستخدمون الذين يستخدمون الإصدار العادي فقط من ChatGPT في المتصفح أو التطبيق، للاستعلامات العرضية أو المهام الشخصية، لم يكونوا ليتأثروا بشكل مباشر بسبب الحادثة، كما تُكرّر الشركة في جميع بياناتها. مع ذلك، ومن باب الشفافية، اختارت OpenAI نشر البريد الإلكتروني المعلوماتي على نطاق واسع، مما ساهم في إثارة قلق الكثيرين غير المعنيين.

محتوى حصري - اضغط هنا كيف أعرف أن اتصالي بتور آمن؟

في حالة واجهة برمجة التطبيقات، من المعتاد أن يكون خلفها المشاريع المهنية، أو التكاملات المؤسسية، أو المنتجات التجاريةينطبق هذا أيضًا على الشركات الأوروبية. ووفقًا للمعلومات المُقدمة، تشمل المؤسسات التي تستخدم هذا المُزوّد شركات تقنية كبيرة وشركات ناشئة صغيرة، مما يُعزز فكرة أن أي جهة فاعلة في النظام البيئي الرقمي معرضة للخطر عند الاستعانة بمصادر خارجية لخدمات التحليلات أو المراقبة.

من وجهة نظر قانونية، من المهم للعملاء الأوروبيين أن يكون هذا خرقًا في الشخص المسؤول عن العلاج (Mixpanel) التي تُعنى بالبيانات نيابةً عن OpenAI. يتطلب ذلك إخطار الجهات المعنية، وسلطات حماية البيانات عند الاقتضاء، وفقًا للوائح اللائحة العامة لحماية البيانات (GDPR).

ما هي البيانات التي تم تسريبها وما هي البيانات التي لا تزال آمنة

من وجهة نظر المستخدم، السؤال الأهم هو: ما نوع المعلومات التي تم إغفالها؟ تتفق OpenAI وMixpanel على أن... بيانات الملف الشخصي والقياس عن بعد الأساسي، مفيد للتحليلات، ولكن ليس لمحتوى التفاعلات مع الذكاء الاصطناعي أو بيانات اعتماد الوصول.

بين البيانات المعرضة للخطر تم العثور على العناصر التالية المتعلقة بحسابات API:

اسم يتم توفيرها عند تسجيل الحساب في واجهة برمجة التطبيقات.
عنوان البريد الإلكتروني المرتبطة بهذا الحساب.
الموقع التقريبي (المدينة أو المقاطعة أو الولاية، والبلد)، يتم استنتاجها من المتصفح وعنوان IP.
نظام التشغيل والمتصفح يستخدم للوصول platform.openai.com.
مواقع مرجعية (المرجعين) الذين تم الوصول إلى واجهة API من خلالهم.
معرفات المستخدم الداخلي أو المؤسسة مرتبط بحساب API.

لا تسمح هذه المجموعة من الأدوات بمفردها لأي شخص بالتحكم في حساب أو تنفيذ مكالمات واجهة برمجة التطبيقات نيابةً عن المستخدم، ولكنها توفر صورةً شاملةً إلى حدٍ ما عن هوية المستخدم، وكيفية اتصاله، وكيفية استخدامه للخدمة. بالنسبة للمهاجم المتخصص في الهندسة الاجتماعيةيمكن أن تكون هذه البيانات بمثابة ذهب خالص عند إعداد رسائل بريد إلكتروني أو رسائل نصية مقنعة للغاية.

وفي الوقت نفسه، تؤكد OpenAI أن هناك كتلة من المعلومات التي لم يتم المساس بهاوفقًا للشركة، فإنها تظل آمنة:

محادثات الدردشة مع ChatGPT، بما في ذلك المطالبات والاستجابات.
طلبات واجهة برمجة التطبيقات وسجلات الاستخدام (المحتوى المُولّد، والمعايير الفنية، وما إلى ذلك).
كلمات المرور وبيانات الاعتماد ومفاتيح API من الحسابات.
معلومات الدفعمثل أرقام البطاقات أو معلومات الفواتير.
وثائق الهوية الرسمية أو أي معلومات حساسة أخرى.

بمعنى آخر فإن الحادث يقع ضمن نطاق البيانات التعريفية والسياقيةلكنها لم تتطرق إلى المحادثات مع الذكاء الاصطناعي أو المفاتيح التي من شأنها أن تسمح لطرف ثالث بالعمل مباشرة على الحسابات.

المخاطر الرئيسية: التصيد الاحتيالي والهندسة الاجتماعية

كيف يعمل التصيد الاحتيالي

حتى لو لم يكن لدى المهاجم كلمات مرور أو مفاتيح API، فإن امتلاكها الاسم وعنوان البريد الإلكتروني والموقع والمعرفات الداخلية يسمح بإطلاق حملات الاحتيال أكثر مصداقية بكثير. وهذا ما يركز عليه خبراء OpenAI والأمن جهودهم.

مع وجود هذه المعلومات على الجدول، من السهل إنشاء رسالة تبدو شرعية: رسائل البريد الإلكتروني التي تحاكي أسلوب التواصل الخاص بـ OpenAIيذكرون واجهة برمجة التطبيقات، ويذكرون اسم المستخدم، بل ويلمحون إلى مدينته أو بلده لجعل التنبيه يبدو أكثر واقعية. لا داعي لاختراق البنية التحتية إذا كان بإمكانك خداع المستخدم لتسليم بيانات اعتماده على موقع إلكتروني مزيف.

محتوى حصري - اضغط هنا كيفية تعطيل Smart Scan في Bitdefender for Mac؟

السيناريوهات الأكثر احتمالا تنطوي على محاولات التصيد الاحتيالي الكلاسيكي (روابط إلى لوحات إدارة واجهة برمجة التطبيقات المزعومة "للتحقق من الحساب") ومن خلال تقنيات الهندسة الاجتماعية الأكثر تفصيلاً والتي تستهدف مسؤولي المؤسسات أو فرق تكنولوجيا المعلومات في الشركات التي تستخدم واجهة برمجة التطبيقات بشكل مكثف.

في أوروبا، ترتبط هذه النقطة بشكل مباشر بمتطلبات اللائحة العامة لحماية البيانات (GDPR) تقليل البياناتويشير بعض المتخصصين في الأمن السيبراني، مثل فريق OX Security الذي استشهدت به وسائل الإعلام الأوروبية، إلى أن جمع معلومات أكثر مما هو ضروري تمامًا لتحليلات المنتج - على سبيل المثال، رسائل البريد الإلكتروني أو بيانات الموقع التفصيلية - قد يتعارض مع الالتزام بالحد من كمية البيانات المعالجة قدر الإمكان.

استجابة OpenAI: قطيعة مع Mixpanel ومراجعة شاملة

بمجرد أن تلقت OpenAI التفاصيل الفنية للحادث، حاولت الرد بحزم. وكان الإجراء الأول هو إزالة تكامل Mixpanel تمامًا من جميع خدمات الإنتاج الخاصة بها، بحيث لم يعد لدى المزود إمكانية الوصول إلى البيانات الجديدة التي يولدها المستخدمون.

وفي الوقت نفسه، تقول الشركة أن يتم مراجعة مجموعة البيانات المتأثرة بشكل شامل لفهم التأثير الحقيقي على كل حساب ومؤسسة. بناءً على هذا التحليل، بدأوا إخطار فردي للمسؤولين والشركات والمستخدمين الذين يظهرون في مجموعة البيانات التي يصدرها المهاجم.

وتزعم شركة OpenAI أيضًا أنها بدأت فحوصات أمنية إضافية على جميع أنظمتهم ومع جميع مقدمي الخدمات الخارجيين الآخرين مع من تعمل. الهدف هو رفع متطلبات الحماية، وتعزيز البنود التعاقدية، وتدقيق كيفية جمع هذه الأطراف الثالثة للمعلومات وتخزينها بدقة أكبر.

وتؤكد الشركة في اتصالاتها على أن "الثقة والأمان والخصوصيةهذه عناصر جوهرية في مهمتها. وبعيدًا عن البلاغة، توضح هذه الحالة كيف يمكن لاختراق عميل ثانوي ظاهريًا أن يؤثر بشكل مباشر على الأمن المُتصوَّر لخدمة ضخمة مثل ChatGPT.

التأثير على المستخدمين والشركات في إسبانيا وأوروبا

في السياق الأوروبي، حيث اللائحة العامة لحماية البيانات واللوائح المستقبلية الخاصة بالذكاء الاصطناعي إنهم يضعون معايير عالية لحماية البيانات، وتُدقّق في مثل هذه الحوادث. بالنسبة لأي شركة تستخدم واجهة برمجة تطبيقات OpenAI من داخل الاتحاد الأوروبي، فإنّ اختراق البيانات من قِبل مُزوّد تحليلات ليس بالأمر الهيّن.

من ناحية أخرى، سيتعين على مسؤولي البيانات الأوروبيين الذين يشكلون جزءًا من واجهة برمجة التطبيقات (API) مراجعة تقييمات الأثر وسجلات الأنشطة للتحقق من كيفية وصف استخدام مقدمي الخدمة مثل Mixpanel وما إذا كانت المعلومات المقدمة لمستخدميهم واضحة بدرجة كافية.

من ناحية أخرى، فإن الكشف عن رسائل البريد الإلكتروني الخاصة بالشركات والمواقع والمعرفات التنظيمية يفتح الباب أمام هجمات مستهدفة ضد فرق التطوير أو أقسام تكنولوجيا المعلومات أو مديري مشاريع الذكاء الاصطناعيلا يتعلق الأمر فقط بالمخاطر المحتملة للمستخدمين الأفراد، بل أيضًا بالشركات التي تبني عملياتها التجارية المهمة على نماذج OpenAI.

في إسبانيا، هذا النوع من الفجوة أصبح واضحا على رادار وكالة حماية البيانات الإسبانية (AEPD) عندما تؤثر على المواطنين المقيمين أو الكيانات المقيمة على الأراضي الوطنية. إذا رأت الجهات المتضررة أن التسريب يُشكل خطرًا على حقوق الأفراد وحرياتهم، فإنها مُلزمة بتقييمه، وإخطار الجهة المختصة عند الاقتضاء.

نصائح عملية لحماية حسابك

إلى جانب التفسيرات الفنية، فإن ما يريد العديد من المستخدمين معرفته هو ماذا يجب عليهم فعله الآن؟تصر شركة OpenAI على أن تغيير كلمة المرور ليس ضروريًا، حيث لم يتم تسريب ذلك، لكن معظم الخبراء يوصون بتطبيق طبقة إضافية من الحذر.

محتوى حصري - اضغط هنا ما هي أفضل الذكاء الاصطناعي لإنشاء النصوص؟

إذا كنت تستخدم واجهة برمجة التطبيقات OpenAI، أو كنت تريد فقط أن تكون في الجانب الآمن، فمن المستحسن اتباع سلسلة من الخطوات الأساسية التي إنهم يقللون من المخاطر بشكل كبير حتى يتمكن المهاجم من استغلال البيانات المسربة:

كن حذرا من رسائل البريد الإلكتروني غير المتوقعة التي تدعي أنها من خدمات OpenAI أو خدمات متعلقة بواجهة برمجة التطبيقات، خاصةً إذا كانت تذكر مصطلحات مثل "التحقق العاجل" أو "حادث أمني" أو "قفل الحساب".
تحقق دائمًا من عنوان المرسل والنطاق الذي تشير إليه الروابط قبل النقر. إذا كانت لديك أي شكوك، فمن الأفضل الوصول إليه يدويًا. platform.openai.com كتابة عنوان URL في المتصفح.
تمكين المصادقة متعددة العوامل (MFA/2FA) على حساب OpenAI الخاص بك وعلى أي خدمة حساسة أخرى. إنه حاجز فعال للغاية حتى لو حصل أحدهم على كلمة مرورك بالخداع.
لا تشارك كلمات المرور أو مفاتيح API أو رموز التحقق عبر البريد الإلكتروني أو الدردشة أو الهاتف. تُذكّر OpenAI المستخدمين بأنها لن تطلب هذا النوع من البيانات أبدًا عبر قنوات غير مُوثّقة.
فالورا غير كلمة المرور الخاصة بك إذا كنت من مستخدمي واجهة برمجة التطبيقات (API) بكثرة أو إذا كنت تميل إلى إعادة استخدامها في خدمات أخرى، فمن الأفضل عمومًا تجنب ذلك.

بالنسبة لأولئك الذين يعملون من شركات أو يديرون مشاريع مع العديد من المطورين، قد يكون هذا هو الوقت المناسب لـ مراجعة سياسات الأمن الداخليأذونات الوصول إلى واجهة برمجة التطبيقات وإجراءات الاستجابة للحوادث، ومواءمتها مع توصيات فرق الأمن السيبراني.

دروس حول البيانات والأطراف الثالثة والثقة في الذكاء الاصطناعي

لقد كان تسرب Mixpanel محدودًا مقارنة بالحوادث الكبرى الأخرى في السنوات الأخيرة، لكنه يأتي في وقت حيث أصبحت خدمات الذكاء الاصطناعي التوليدية شائعة ينطبق هذا على الأفراد والشركات الأوروبية على حد سواء. في كل مرة يُسجِّل فيها شخص ما، أو يُدمج واجهة برمجة تطبيقات (API)، أو يُحمِّل معلومات إلى أداة كهذه، فإنه يُعرِّض جزءًا كبيرًا من حياته الرقمية لأطراف ثالثة.

أحد الدروس التي تعلمناها من هذه الحالة هو الحاجة إلى تقليل البيانات الشخصية المشتركة مع مقدمي الخدمات الخارجيينويؤكد العديد من الخبراء أنه حتى عند العمل مع شركات مشروعة ومعروفة، فإن كل قطعة بيانات يمكن التعرف عليها وتخرج من البيئة الرئيسية تفتح نقطة تعرض محتملة جديدة.

كما يسلط الضوء على مدى تأثير اتصال شفاف هذا هو المفتاح. اختارت OpenAI توفير معلومات شاملة، حتى إرسال رسائل بريد إلكتروني إلى مستخدمين غير متأثرين، مما قد يثير بعض القلق، ولكنه في المقابل يقلل من احتمالية وجود نقص في المعلومات.

في سيناريو حيث سيستمر دمج الذكاء الاصطناعي في الإجراءات الإدارية والخدمات المصرفية والصحة والتعليم والعمل عن بعد في جميع أنحاء أوروبا، فإن الحوادث مثل هذه بمثابة تذكير بأن لا يعتمد الأمان على المزود الرئيسي فقط.بل بالأحرى، شبكة الشركات التي تقف وراءها. وحتى لو لم يشمل اختراق البيانات كلمات مرور أو محادثات، فإن خطر الاحتيال يبقى حقيقيًا جدًا إذا لم تُتّبع عادات الحماية الأساسية.

كل ما حدث مع اختراق ChatGPT و Mixpanel يظهر كيف يمكن حتى لتسريب محدود نسبيًا أن يكون له عواقب كبيرة: فهو يجبر OpenAI على إعادة التفكير في علاقتها بأطراف ثالثة، ويدفع الشركات والمطورين الأوروبيين إلى مراجعة ممارساتهم الأمنية، ويذكر المستخدمين بأن دفاعهم الرئيسي ضد الهجمات يظل البقاء على اطلاع. مراقبة رسائل البريد الإلكتروني التي يتلقونها وتعزيز حماية حساباتهم.

ألبرتو نافارو

أنا من عشاق التكنولوجيا وقد حول اهتماماته "المهووسة" إلى مهنة. لقد أمضيت أكثر من 10 سنوات من حياتي في استخدام التكنولوجيا المتطورة والتعديل على جميع أنواع البرامج بدافع الفضول الخالص. الآن تخصصت في تكنولوجيا الكمبيوتر وألعاب الفيديو. وذلك لأنني منذ أكثر من 5 سنوات أكتب لمواقع مختلفة حول التكنولوجيا وألعاب الفيديو، وأقوم بإنشاء مقالات تسعى إلى تزويدك بالمعلومات التي تحتاجها بلغة مفهومة للجميع.

إذا كان لديك أي أسئلة، فإن معرفتي تتراوح بين كل ما يتعلق بنظام التشغيل Windows وكذلك Android للهواتف المحمولة. والتزامي تجاهك هو أنني على استعداد دائمًا لقضاء بضع دقائق ومساعدتك في حل أي أسئلة قد تكون لديكم في عالم الإنترنت هذا.