Kršenje ChatGPT podataka: šta se dogodilo s Mixpanelom i kako to utiče na vas

Korisnici Chat GPT U posljednjih nekoliko sati primili su e-mail koji je izazvao više od jedne obrve: OpenAI prijavljuje kršenje podataka povezano s njihovom API platformomUpozorenje je stiglo do široke publike, uključujući i ljude koji nisu direktno pogođeni, što je izazvao određenu zabunu o stvarnom obimu incidenta.

Ono što je kompanija potvrdila jeste da je došlo do neovlašteni pristup nekim podacima kupacaAli problem nije bio sa OpenAI serverima, već sa... Mixpanel, nezavisni pružatelj web analitike koji je prikupljao metrike korištenja API interfejsa u platform.openai.comUprkos tome, slučaj ponovo vraća problem u prvi plan. debata o tome kako se upravlja ličnim podacima u uslugama vještačke inteligencije, također u Evropi i pod okriljem RGPD.

Greška u Mixpanelu, a ne u OpenAI sistemima

Kako je OpenAI detaljno opisao u svojoj izjavi, incident se dogodio 9 za novembarkada je Mixpanel otkrio da je napadač dobio pristup neovlašteni pristup dijelu njegove infrastrukture i izvezao je skup podataka korišten za analizu. Tokom tih sedmica, dobavljač je proveo internu istragu kako bi utvrdio koje su informacije bile kompromitirane.

Kada je Mixpanel dobio više jasnoće, OpenAI je formalno obaviješten 25. novembraslanje pogođenog skupa podataka kako bi kompanija mogla procijeniti utjecaj na vlastite kupce. Tek tada je OpenAI počeo unakrsno referencirati podatke., identificirati potencijalno uključene račune i pripremiti e-mail obavještenja koja ovih dana stižu hiljadama korisnika širom svijeta.

OpenAI insistira na tome Nije bilo upada u njihove servere, aplikacije ili baze podatakaNapadač nije dobio pristup ChatGPT-u ili internim sistemima kompanije, već okruženju provajdera koji je prikupljao analitičke podatke. Uprkos tome, za krajnjeg korisnika, praktična posljedica je ista: neki od njihovih podataka su završili tamo gdje nisu trebali.

Ove vrste scenarija spadaju u ono što je u sajber sigurnosti poznato kao napad na digitalni lanac snabdijevanjaUmjesto direktnog napada na veliku platformu, kriminalci ciljaju treću stranu koja obrađuje podatke s te platforme i često ima manje stroge sigurnosne kontrole.

Vezani članak:

Koje podatke prikupljaju AI asistenti i kako zaštititi vašu privatnost

Koji su korisnici zapravo pogođeni

Jedna od tačaka koja izaziva najviše sumnje je ko bi zaista trebao biti zabrinut. Po tom pitanju, OpenAI je bio prilično jasan: Razlika utiče samo na one koji koriste OpenAI API putem Interneta platform.openai.comTo jest, uglavnom programeri, kompanije i organizacije koje integrišu modele kompanije u svoje vlastite aplikacije i usluge.

Korisnici koji koriste samo redovnu verziju ChatGPT-a u pregledniku ili aplikaciji, za povremene upite ili lične zadatke, Ne bi bili direktno pogođeni zbog incidenta, što kompanija ponavlja u svim svojim izjavama. Uprkos tome, radi transparentnosti, OpenAI je odlučio da informativni e-mail pošalje vrlo široko, što je doprinijelo alarmiranju mnogih ljudi koji nisu uključeni.

U slučaju API-ja, uobičajeno je da iza njega stoji profesionalni projekti, korporativne integracije ili komercijalni proizvodiOvo se odnosi i na evropske kompanije. Prema dostavljenim informacijama, organizacije koje koriste ovog provajdera uključuju i velike tehnološke kompanije i male startupove, što pojačava ideju da je svaki igrač u digitalnom ekosistemu ranjiv prilikom outsourcinga analitičkih ili monitoring usluga.

Sa pravnog stanovišta, relevantno je za evropske kupce da se radi o kršenju osoba zadužena za tretman (Mixpanel) koji obrađuje podatke u ime OpenAI-a. To zahtijeva obavještavanje pogođenih organizacija i, gdje je to primjereno, tijela za zaštitu podataka, u skladu s GDPR propisima.

Koji su podaci procurili, a koji su i dalje sigurni

Iz perspektive korisnika, veliko pitanje je koje su informacije izostavljene. OpenAI i Mixpanel se slažu da je to... podaci profila i osnovna telemetrija, korisno za analitiku, ali ne i za sadržaj interakcija s umjetnom inteligencijom ili pristupne podatke.

Među potencijalno izloženi podaci Pronađeni su sljedeći elementi povezani s API računima:

• ime navedeno prilikom registracije računa u API-ju.
• E-mail adresa povezan s tim računom.
• Približna lokacija (grad, pokrajina ili država i zemlja), izvedeno iz preglednika i IP adrese.
• Operativni sistem i preglednik koristi se za pristup platform.openai.com.
• Referentne web stranice (referreri) sa kojih je postignut API interfejs.
• Interni identifikatori korisnika ili organizacije povezan s API računom.

Ovaj skup alata sam po sebi ne dozvoljava nikome da preuzme kontrolu nad računom ili izvršava API pozive u ime korisnika, ali pruža prilično potpun profil korisnika, kako se povezuje i kako koristi uslugu. Za napadača specijaliziranog za socijalni inženjeringOvi podaci mogu biti čisto zlato pri pripremi izuzetno uvjerljivih e-mailova ili poruka.

Istovremeno, OpenAI naglašava da postoji blok informacija koji nije kompromitovanPrema navodima kompanije, oni ostaju sigurni:

• Razgovori u chatu sa ChatGPT-om, uključujući upite i odgovore.
• API zahtjevi i zapisnici korištenja (generirani sadržaj, tehnički parametri, itd.).
• Lozinke, vjerodajnice i API ključevi računa.
• Podaci o plaćanju, kao što su brojevi kartica ili podaci o naplati.
• Zvanični identifikacijski dokumenti ili druge posebno osjetljive informacije.

Drugim riječima, incident spada u djelokrug identifikacijski i kontekstualni podaciAli nije dotakla ni razgovore s umjetnom inteligencijom ni ključeve koji bi omogućili trećoj strani da direktno upravlja računima.

Glavni rizici: phishing i socijalni inženjering

Čak i ako napadač nema lozinke ili API ključeve, njihovo posjedovanje ime, adresa e-pošte, lokacija i interni identifikatori omogućava lansiranje kampanje prevare mnogo kredibilniji. Ovdje stručnjaci za OpenAI i sigurnost usmjeravaju svoje napore.

S tim informacijama na stolu, lako je konstruirati poruku koja djeluje legitimno: e-poruke koje oponašaju komunikacijski stil OpenAI-aSpominju API, navode korisnika po imenu, pa čak i aludiraju na njegov grad ili državu kako bi upozorenje zvučalo realnije. Nema potrebe za napadom na infrastrukturu ako možete prevariti korisnika da preda svoje akreditive na lažnoj web stranici.

Najvjerovatniji scenariji uključuju pokušaje da se klasični phishing (veze do navodnih API upravljačkih panela za „verifikaciju računa“) i složenijim tehnikama socijalnog inženjeringa usmjerenim na administratore organizacija ili IT timove u kompanijama koje intenzivno koriste API.

U Evropi je ova tačka direktno povezana sa zahtjevima GDPR-a o minimizacija podatakaNeki stručnjaci za kibernetičku sigurnost, poput tima OX Security koji se citira u evropskim medijima, ističu da prikupljanje više informacija nego što je strogo potrebno za analitiku proizvoda - na primjer, e-mailova ili detaljnih podataka o lokaciji - može biti u sukobu s obavezom da se količina obrađenih podataka ograniči što je više moguće.

OpenAI-jev odgovor: prekid s Mixpanelom i temeljita recenzija

Nakon što je OpenAI primio tehničke detalje incidenta, pokušao je odlučno reagovati. Prva mjera je bila potpuno uklonite integraciju Mixpanela svih svojih produkcijskih usluga, tako da pružatelj usluga više nema pristup novim podacima koje generiraju korisnici.

Istovremeno, kompanija navodi da detaljno pregledava pogođeni skup podataka kako bi razumjeli stvarni utjecaj na svaki račun i organizaciju. Na osnovu te analize, počeli su obavijestiti pojedinačno administratorima, kompanijama i korisnicima koji se pojavljuju u skupu podataka koji je napadač izvezao.

OpenAI također tvrdi da je započeo dodatne sigurnosne provjere na svim njihovim sistemima i kod svih drugih vanjskih dobavljača s kim radi. Cilj je povećati zahtjeve zaštite, ojačati ugovorne klauzule i rigoroznije provjeravati kako ove treće strane prikupljaju i pohranjuju informacije.

Kompanija u svojim komunikacijama naglašava da „povjerenje, sigurnost i privatnostOvo su centralni elementi njegove misije. Pored retorike, ovaj slučaj ilustruje kako proboj u naizgled sekundarnom agentu može imati direktan uticaj na percipiranu sigurnost servisa masivnog kao što je ChatGPT.

Uticaj na korisnike i preduzeća u Španiji i Evropi

U evropskom kontekstu, gdje je GDPR i budući propisi specifični za umjetnu inteligenciju Postavili su visoke standarde za zaštitu podataka, a incidenti poput ovog se detaljno prate. Za svaku kompaniju koja koristi OpenAI API iz Evropske unije, kršenje podataka od strane provajdera analitike nije mala stvar.

S jedne strane, evropski kontrolori podataka koji su dio API-ja morat će pregledaju svoje procjene utjecaja i zapise o aktivnostima provjeriti kako je opisano korištenje pružatelja usluga poput Mixpanela i jesu li informacije koje se pružaju njihovim korisnicima dovoljno jasne.

S druge strane, otkrivanje korporativnih e-mailova, lokacija i organizacijskih identifikatora otvara vrata... Ciljani napadi na razvojne timove, IT odjele ili menadžere AI projekataOvo se ne odnosi samo na potencijalne rizike za pojedinačne korisnike, već i za kompanije koje ključne poslovne procese zasnivaju na OpenAI modelima.

U Španiji, ova vrsta jaza dolazi na radar Španska agencija za zaštitu podataka (AEPD) kada utiču na građane ili subjekte sa prebivalištem na nacionalnoj teritoriji. Ako pogođene organizacije smatraju da curenje predstavlja rizik za prava i slobode pojedinaca, dužne su da to procijene i, gdje je to primjereno, da obavijeste nadležni organ.

Praktični savjeti za zaštitu vašeg računa

Pored tehničkih objašnjenja, ono što mnogi korisnici žele znati je Šta oni moraju sada uraditi?OpenAI insistira da promjena lozinke nije neophodna, jer nije procurila, ali većina stručnjaka preporučuje primjenu dodatnog sloja opreza.

Ako koristite OpenAI API ili jednostavno želite biti sigurni, preporučljivo je slijediti niz osnovnih koraka koji Drastično smanjuju rizik da bi napadač mogao iskoristiti procurele podatke:

• Budite oprezni s neočekivanim e-porukama koji tvrde da potiču iz OpenAI-a ili servisa povezanih s API-jem, posebno ako spominju termine poput "hitna verifikacija", "sigurnosni incident" ili "zaključavanje računa".
• Uvijek provjerite adresu pošiljaoca i domenu na koju linkovi upućuju prije klika. Ako imate bilo kakvih nedoumica, najbolje je da mu pristupite ručno. platform.openai.com upisivanjem URL-a u preglednik.
• Omogući višefaktorsku autentifikaciju (MFA/2FA) na vašem OpenAI računu i bilo kojoj drugoj osjetljivoj usluzi. To je vrlo učinkovita barijera čak i ako neko dobije vašu lozinku prevarom.
• Ne dijelite lozinke, API ključeve ili verifikacijske kodove putem e-pošte, chata ili telefona. OpenAI podsjeća korisnike da nikada neće tražiti ovu vrstu podataka putem neprovjerenih kanala.
• Vrijednost promijenite lozinku Ako ste intenzivni korisnik API-ja ili ako ga obično ponovno koristite u drugim servisima, nešto što je generalno najbolje izbjegavati.

Za one koji rade iz kompanija ili upravljaju projektima s više programera, ovo bi moglo biti dobro vrijeme za pregledajte interne sigurnosne politikeDozvole za pristup API-ju i procedure za odgovor na incidente, usklađujući ih s preporukama timova za kibernetičku sigurnost.

Lekcije o podacima, trećim stranama i povjerenju u umjetnu inteligenciju

Curenje informacija sa Mixpanela bilo je ograničeno u poređenju sa drugim većim incidentima u posljednjih nekoliko godina, ali se dešava u vrijeme kada... Generativne usluge umjetne inteligencije postale su uobičajene Ovo se odnosi i na pojedince i na evropske kompanije. Svaki put kada neko registruje, integriše API ili prenese informacije na takav alat, značajan dio svog digitalnog života stavlja u ruke trećih strana.

Jedna od lekcija koju ovaj slučaj uči je potreba da se minimizirajte dijeljenje ličnih podataka s vanjskim pružateljima uslugaNekoliko stručnjaka naglašava da, čak i kada se radi s legitimnim i poznatim kompanijama, svaki prepoznatljivi podatak koji napušta glavno okruženje otvara novu potencijalnu tačku izloženosti.

Također naglašava stepen u kojem je transparentna komunikacija Ovo je ključno. OpenAI je odlučio pružiti široke informacije, čak i slati e-poruke korisnicima na koje to ne utječe, što može izazvati određenu uzbunu, ali zauzvrat ostavlja manje prostora za sumnju u nedostatak informacija.

U scenariju u kojem će se umjetna inteligencija nastaviti integrirati u administrativne procedure, bankarstvo, zdravstvo, obrazovanje i rad na daljinu širom Evrope, incidenti poput ovog služe kao podsjetnik da... Sigurnost ne zavisi isključivo od glavnog provajdera.već cijele mreže kompanija koje stoje iza toga. I da, čak i ako povreda podataka ne uključuje lozinke ili razgovore, rizik od prevare ostaje vrlo realan ako se ne usvoje osnovne zaštitne navike.

Sve što se dogodilo s probojem ChatGPT-a i Mixpanela pokazuje kako čak i relativno ograničeno curenje podataka može imati značajne posljedice: prisiljava OpenAI da preispita svoj odnos s trećim stranama, potiče evropske kompanije i programere da preispitaju svoje sigurnosne prakse i podsjeća korisnike da njihova glavna odbrana od napada ostaje informisanost. pratiti e-poruke koje primaju i pojačati zaštitu njihovih računa.

Alberto navarro

Ja sam tehnološki entuzijasta koji je svoja "geek" interesovanja pretvorio u profesiju. Proveo sam više od 10 godina svog života koristeći najsavremeniju tehnologiju i petljajući po svim vrstama programa iz čiste radoznalosti. Sada sam se specijalizirao za kompjutersku tehnologiju i video igrice. To je zato što više od 5 godina pišem za razne web stranice o tehnologiji i video igricama, stvarajući članke koji nastoje dati vam potrebne informacije na jeziku koji je svima razumljiv.

Ako imate bilo kakvih pitanja, moje znanje seže od svega vezanog za Windows operativni sistem kao i Android za mobilne telefone. I moja posvećenost je vama, uvijek sam spreman potrošiti nekoliko minuta i pomoći vam da riješite sva pitanja koja imate u ovom svijetu interneta.