Paglapas sa datos sa ChatGPT ug Mixpanel: unsay nahitabo

Ang paglapas wala sa mga sistema sa OpenAI, apan sa Mixpanel, usa ka external analytics provider.
Ang mga tiggamit lamang nga naggamit sa API sa platform.openai.com ang naapektuhan, kasagaran mga developer ug kompanya.
Ang pag-ila ug teknikal nga datos nabutyag, apan dili mga chat, password, API key o impormasyon sa pagbayad.
Giputol sa OpenAI ang mga relasyon sa Mixpanel, girepaso ang tanan nga mga provider niini, ug girekomenda ang paghimo og dugang nga pag-amping batok sa phishing.

Paglapas sa seguridad sa OpenAI Mixpanel

Ang tiggamit sa Chat GPT Sa miaging pipila ka oras, nakadawat sila usa ka email nga nagpataas sa labaw sa usa ka kilay: Gi-report sa OpenAI ang usa ka paglapas sa datos nga nalambigit sa platform sa API niiniAng pasidaan nakaabot sa daghang mamiminaw, lakip ang mga tawo nga dili direktang naapektuhan, nga adunay nakamugna og kalibog mahitungod sa aktuwal nga sakup sa insidente.

Ang gikumpirma sa kompanya mao nga adunay usa ka dili awtorisado nga pag-access sa impormasyon sa pipila ka mga kustomerApan ang problema wala sa mga server sa OpenAI, apan sa ... Mixpanel, usa ka third-party nga web analytics provider nga nagkolekta sa API interface sa paggamit metrics sa platform.openai.comBisan pa, ang kaso nagdala sa isyu balik sa atubangan. debate kung giunsa pagdumala ang personal nga datos sa mga serbisyo sa artipisyal nga paniktik, usab sa Europe ug ubos sa payong sa RGPD.

Usa ka bug sa Mixpanel, dili sa mga sistema sa OpenAI

Mixpanel ug ChatGPT kapakyasan

Ingon sa detalyado sa OpenAI sa iyang pahayag, ang insidente nagsugod sa 9 alang sa Nobyembresa diha nga ang Mixpanel nakamatikod nga ang usa ka tig-atake nakakuha og access dili awtorisado nga pag-access sa bahin sa imprastraktura niini ug nag-eksport sa usa ka dataset nga gigamit alang sa pagtuki. Atol sa maong mga semana, ang vendor nagpahigayon og internal nga imbestigasyon aron sa pagtino kon unsa nga impormasyon ang nakompromiso.

Sa diha nga ang Mixpanel adunay mas klaro, pormal nga gipahibalo ang OpenAI kaniadtong Nobyembre 25pagpadala sa naapektuhan nga dataset aron masusi sa kompanya ang epekto sa kaugalingon nga mga kustomer. Niana lang gisugdan sa OpenAI ang cross-referencing nga datos, pag-ila sa posibleng nalangkit nga mga account ug pag-andam sa email notifications nga moabot karong mga adlawa ngadto sa liboan ka tiggamit sa tibuok kalibotan.

Ang OpenAI miinsistir niana Wala’y pagsulod sa ilang mga server, aplikasyon, o databaseAng tig-atake wala maka-access sa ChatGPT o sa internal nga sistema sa kompanya, apan sa palibot sa usa ka provider nga nagkolekta sa datos sa analytics. Bisan pa, alang sa katapusan nga tiggamit, ang praktikal nga sangputanan parehas: ang pipila sa ilang mga datos natapos kung diin wala kini kinahanglan.

Kini nga mga matang sa mga senaryo nahulog sa ilawom sa nahibal-an sa cybersecurity ingon usa ka pag-atake sa digital nga kadena sa suplayImbis nga direkta nga atakehon ang nag-unang plataporma, gipunting sa mga kriminal ang usa ka ikatulo nga partido nga nagdumala sa datos gikan sa kana nga plataporma ug kanunay adunay dili kaayo higpit nga mga kontrol sa seguridad.

Giangkon nga artikulo:

Unsa nga datos ang nakolekta sa mga katabang sa AI ug kung giunsa pagpanalipod ang imong pribasiya

Kinsa nga tiggamit ang tinuod nga naapektuhan

paglapas sa data sa chatgpt

Usa sa mga punto nga nagmugna sa labing pagduhaduha mao kung kinsa gyud ang angay nga mabalaka. Niini nga punto, ang OpenAI klaro kaayo: Ang kal-ang makaapekto lamang niadtong naggamit sa OpenAI API pinaagi sa Web platform.openai.comKana mao, nag-una developers, kompanya ug organisasyon nga naghiusa sa mga modelo sa kompanya sa ilang kaugalingon nga mga aplikasyon ug serbisyo.

Ang mga tiggamit nga naggamit lamang sa regular nga bersyon sa ChatGPT sa browser o app, alang sa panagsa nga mga pangutana o personal nga mga buluhaton, Dili unta sila direktang maapektuhan tungod sa insidente, ingon nga gisubli sa kompanya sa tanan nga mga pahayag niini. Bisan pa, alang sa transparency, gipili sa OpenAI nga ipadala ang email sa impormasyon nga lapad kaayo, nga nakatampo sa pagkaalarma sa daghang mga tawo nga wala’y labot.

Eksklusibo nga sulud - Pag-klik Dinhi Giunsa pagpanalipod ang imong account sa Gmail

Sa kaso sa API, kasagaran nga sa luyo niini adunay propesyonal nga mga proyekto, integrasyon sa korporasyon, o komersyal nga mga produktoKini magamit usab sa mga kompanya sa Europe. Sumala sa gihatag nga impormasyon, ang mga organisasyon nga naggamit niini nga tighatag naglakip sa mga dagkong kompanya sa teknolohiya ug gagmay nga mga startup, nga nagpalig-on sa ideya nga bisan kinsa nga magdudula sa digital ecosystem mahuyang sa dihang mag-outsourcing sa analytics o monitoring services.

Gikan sa usa ka legal nga punto sa panglantaw, kini mao ang may kalabutan alang sa European kustomer nga kini mao ang usa ka paglapas sa usa ka tawo nga nagdumala sa pagtambal (Mixpanel) nga nagdumala sa datos alang sa OpenAI. Nagkinahanglan kini pagpahibalo sa mga apektadong organisasyon ug, kung angay, ang mga awtoridad sa pagpanalipod sa datos, subay sa mga regulasyon sa GDPR.

Unsa nga datos ang na-leak ug unsa nga datos ang nagpabilin nga luwas

Gikan sa panan-aw sa tiggamit, ang dako nga pangutana mao kung unsang klase nga kasayuran ang wala. Ang OpenAI ug Mixpanel nagkauyon nga kini... data sa profile ug batakang telemetry, mapuslanon alang sa analytics, apan dili alang sa sulod sa mga interaksyon sa AI o pag-access sa mga kredensyal.

Lakip sa posibleng nabutyag nga datos Ang mosunod nga mga elemento nga may kalabutan sa mga API account makita:

ngalan gihatag sa pagrehistro sa account sa API.
Adres sa email nalangkit sa maong account.
Gibanabana nga lokasyon (siyudad, probinsya o estado, ug nasud), gipasabot gikan sa browser ug IP address.
Operating system ug browser gigamit sa pag-access platform.openai.com.
Mga reperensiya nga website (mga referrer) diin naabot ang interface sa API.
Mga tigpaila sa internal nga tiggamit o organisasyon nalambigit sa API account.

Kini nga hugpong sa mga himan nga nag-inusara wala magtugot sa bisan kinsa nga mokontrol sa usa ka account o magpatuman sa mga tawag sa API alang sa tiggamit, apan naghatag kini usa ka medyo kompleto nga profile kung kinsa ang tiggamit, kung giunsa sila nagkonektar, ug giunsa nila paggamit ang serbisyo. Alang sa usa ka tig-atake nga espesyalista sa social engineeringKini nga datos mahimong puro nga bulawan kung nag-andam sa labi ka makapakombinsir nga mga email o mensahe.

Sa parehas nga oras, gipasiugda sa OpenAI nga adunay usa ka bloke sa kasayuran nga wala makompromisoSumala sa kompanya, nagpabilin silang luwas:

Mga panag-istoryahanay sa chat uban sa ChatGPT, lakip ang mga pag-aghat ug mga tubag.
Mga hangyo sa API ug mga log sa paggamit (namugna nga sulod, teknikal nga mga parametro, ug uban pa).
Mga password, kredensyal, ug mga yawe sa API sa mga account.
Ang kasayuran sa pagbayad, sama sa mga numero sa kard o impormasyon sa pagsingil.
Opisyal nga mga dokumento sa pagkatawo o uban pang partikular nga sensitibo nga impormasyon.

Sa laing pagkasulti, ang insidente nahisakop sa sakup sa pag-ila ug kontekstwal nga datosApan wala kini nakatandog bisan sa mga panag-istoryahanay sa AI o sa mga yawe nga magtugot sa usa ka ikatulo nga partido nga direktang molihok sa mga account.

Pangunang mga risgo: phishing ug social engineering

Giunsa paglihok ang phishing

Bisan kung ang tig-atake wala’y mga password o mga yawe sa API, adunay kini ngalan, email address, lokasyon, ug internal nga mga identifier nagtugot sa paglansad mga kampanya sa pagpanglimbong mas katuohan. Dinhi diin ang OpenAI ug ang mga eksperto sa seguridad nagpunting sa ilang mga paningkamot.

Uban niana nga impormasyon sa lamesa, sayon ang paghimo og mensahe nga daw lehitimo: mga email nga nagsundog sa estilo sa komunikasyon sa OpenAIGihisgotan nila ang API, gikutlo ang ngalan sa tiggamit, ug gipunting pa ang ilang lungsod o nasud aron mahimo nga labi ka tinuod ang alerto. Dili kinahanglan nga atakehon ang imprastraktura kung mahimo nimong linglahon ang tiggamit sa pagtugyan sa ilang mga kredensyal sa usa ka peke nga website.

Eksklusibo nga sulud - Pag-klik Dinhi Unsa ang kalainan tali sa AVG AntiVirus Free ug sa bayad nga bersyon?

Ang labing lagmit nga mga senaryo naglakip sa pagsulay sa klasiko nga phishing (mga link sa giingong mga panel sa pagdumala sa API aron "i-verify ang account") ug pinaagi sa mas detalyado nga mga pamaagi sa social engineering nga gitumong sa mga tigdumala sa mga organisasyon o mga IT team sa mga kompanya nga kusog nga naggamit sa API.

Sa Europe, kini nga punto direkta nga nalambigit sa mga kinahanglanon sa GDPR sa pagminus sa datosAng ubang mga espesyalista sa cybersecurity, sama sa OX Security team nga gikutlo sa European media, nagpunting nga ang pagkolekta og dugang nga impormasyon kay sa estrikto nga gikinahanglan alang sa pag-analisa sa produkto—pananglitan, mga email o detalyadong datos sa lokasyon—mahimong makig-away sa obligasyon nga limitahan ang gidaghanon sa datos nga giproseso kutob sa mahimo.

Ang tubag sa OpenAI: usa ka pahulay sa Mixpanel ug usa ka bug-os nga pagsusi

Sa dihang nadawat sa OpenAI ang teknikal nga mga detalye sa insidente, misulay kini sa pag-react nga mahukmanon. Ang unang sukod mao bug-os nga tangtangon ang Mixpanel integration sa tanan nga mga serbisyo sa produksiyon niini, aron ang provider wala nay access sa bag-ong datos nga gihimo sa mga tiggamit.

Sa samang higayon, ang kompanya nag-ingon nga bug-os nga nagrepaso sa naapektuhan nga dataset aron masabtan ang tinuod nga epekto sa matag account ug organisasyon. Base sa maong pagtuki, nagsugod na sila pagpahibalo sa tagsa-tagsa sa mga administrador, kompanya, ug tiggamit nga makita sa dataset nga gi-eksport sa tig-atake.

Giangkon usab sa OpenAI nga nagsugod na kini dugang nga pagsusi sa seguridad sa tanan nilang mga sistema ug sa tanan nga uban pang mga eksternal nga tighatag kang kinsa kini nagtrabaho. Ang katuyoan mao ang pagpataas sa mga kinahanglanon sa pagpanalipod, pagpalig-on sa mga clause sa kontraktwal, ug labi ka higpit nga pag-audit kung giunsa kini nga mga ikatulo nga partido nagkolekta ug nagtipig sa kasayuran.

Gipasiugda sa kompanya sa mga komunikasyon niini nga "pagsalig, seguridad ug pribasiyaKini ang sentro nga mga elemento sa misyon niini. Labaw sa retorika, kini nga kaso nag-ilustrar kung giunsa ang usa ka paglapas sa usa ka daw ikaduha nga ahente mahimo’g adunay direkta nga epekto sa gihunahuna nga seguridad sa usa ka serbisyo nga ingon kadako sa ChatGPT.

Epekto sa mga tiggamit ug negosyo sa Spain ug Europe

Sa konteksto sa Europe, diin ang GDPR ug umaabot nga mga regulasyon nga piho sa AI Nagbutang sila usa ka taas nga bar alang sa pagpanalipod sa datos, ug ang mga insidente nga sama niini gisusi. Alang sa bisan unsang kompanya nga naggamit sa OpenAI API gikan sa sulod sa European Union, ang usa ka paglapas sa datos sa usa ka tighatag sa analytics dili gamay nga butang.

Sa usa ka bahin, ang mga tigkontrol sa datos sa Europe nga bahin sa API kinahanglan ribyuha ang ilang mga pagsusi sa epekto ug mga talaan sa kalihokan aron masusi kung giunsa gihulagway ang paggamit sa mga provider sama sa Mixpanel ug kung klaro ba ang kasayuran nga gihatag sa ilang kaugalingon nga mga tiggamit.

Sa laing bahin, ang pagkaladlad sa corporate emails, lokasyon, ug organisasyonal identifiers nagbukas sa pultahan sa Gipunting nga mga pag-atake batok sa mga development team, mga departamento sa IT, o mga tagdumala sa proyekto sa AIDili lang kini bahin sa mga potensyal nga peligro alang sa mga indibidwal nga tiggamit, apan alang usab sa mga kompanya nga nagbase sa mga kritikal nga proseso sa negosyo sa mga modelo sa OpenAI.

Sa Spain, kini nga matang sa gintang moabut sa radar sa Spanish Agency for Data Protection (AEPD) kung kini makaapekto sa mga lumulupyo nga lungsuranon o mga entidad nga gitukod sa nasudnong teritoryo. Kung gikonsiderar sa mga apektadong organisasyon nga ang pagtulo adunay peligro sa mga katungod ug kagawasan sa mga indibidwal, obligado sila nga susihon kini ug, kung angay, ipahibalo usab ang may katakus nga awtoridad.

Praktikal nga mga tip aron mapanalipdan ang imong account

Labaw sa mga teknikal nga pagpatin-aw, ang gusto mahibal-an sa daghang mga tiggamit Unsa may angay nilang buhaton karon?Ang OpenAI miinsistir nga ang pagbag-o sa password dili kinahanglanon, tungod kay wala kini na-leak, apan kadaghanan sa mga eksperto nagrekomendar sa paggamit sa dugang nga layer sa pag-amping.

Eksklusibo nga sulud - Pag-klik Dinhi Giunsa pagbawi ang imong password sa digital nga sertipiko sa lakang

Kung gigamit nimo ang OpenAI API, o gusto lang nga naa sa luwas nga bahin, gisugyot nga sundon ang usa ka serye sa mga sukaranan nga lakang nga Gipamenos nila pag-ayo ang risgo nga mahimong pahimuslan sa usa ka tig-atake ang na-leak nga datos:

Pagbantay sa wala damha nga mga email nga nag-angkon nga gikan sa OpenAI o mga serbisyo nga may kalabotan sa API, labi na kung naghisgot sila sa mga termino sama sa "dinalian nga pag-verify", "insidente sa seguridad" o "lockout sa account".
Susiha kanunay ang adres sa nagpadala ug ang domain nga gipunting sa mga link sa wala pa i-klik. Kung adunay ka mga pagduhaduha, labing maayo nga i-access kini nga mano-mano. platform.openai.com pag-type sa URL sa browser.
I-enable ang multi-factor authentication (MFA/2FA) sa imong OpenAI account ug bisan unsang ubang sensitibo nga serbisyo. Kini usa ka epektibo kaayo nga babag bisan kung adunay makakuha sa imong password pinaagi sa paglimbong.
Ayaw ipaambit ang mga password, API key, o verification code pinaagi sa email, chat, o telepono. Gipahinumdoman sa OpenAI ang mga tiggamit nga dili gyud kini mohangyo sa kini nga klase sa datos pinaagi sa wala mapamatud-an nga mga channel.
Bili usba imong password Kung ikaw usa ka bug-at nga tiggamit sa API o kung gusto nimo nga gamiton kini pag-usab sa ubang mga serbisyo, usa ka butang nga sa kasagaran labing likayan.

Alang sa mga nag-operate gikan sa mga kompanya o nagdumala sa mga proyekto nga adunay daghang mga developer, mahimo’g kini usa ka maayong panahon repasuha ang internal nga mga polisiya sa seguridadAng mga permiso sa pag-access sa API ug mga pamaagi sa pagtubag sa insidente, nga gipahiangay kini sa mga rekomendasyon sa mga cybersecurity team.

Mga leksyon sa datos, ikatulo nga partido, ug pagsalig sa AI

Limitado ang pagtulo sa Mixpanel kung itandi sa ubang dagkong mga insidente sa bag-ohay nga mga tuig, apan kini moabut sa panahon nga ang Ang mga serbisyo sa Generative AI nahimong kasagaran Kini magamit sa mga indibidwal ug mga kompanya sa Europe. Sa matag higayon nga adunay magparehistro, mag-integrate sa usa ka API, o mag-upload og impormasyon sa ingon nga himan, ilang gibutang ang usa ka mahinungdanong bahin sa ilang digital nga kinabuhi sa mga kamot sa mga ikatulo nga partido.

Usa sa mga leksyon nga gitudlo niini nga kaso mao ang panginahanglan mamenosan ang personal nga datos nga gipaambit sa mga external providersGipasiugda sa daghang mga eksperto nga, bisan kung nagtrabaho kauban ang mga lehitimo ug inila nga mga kompanya, ang matag mailhan nga piraso sa datos nga nagbilin sa panguna nga palibot nagbukas sa usa ka bag-ong potensyal nga punto sa pagkaladlad.

Gipasiugda usab niini ang gidak-on sa transparent nga komunikasyon Kini ang yawe. Gipili sa OpenAI ang paghatag ug halapad nga kasayuran, bisan ang pagpadala sa mga email sa wala maapektuhan nga mga tiggamit, nga mahimong hinungdan sa pipila ka alarma apan, sa baylo, nagbilin gamay nga lugar alang sa pagduda sa kakulang sa kasayuran.

Sa usa ka senaryo diin ang AI magpadayon nga i-integrate sa mga pamaagi sa administratibo, banking, kahimsog, edukasyon, ug hilit nga trabaho sa tibuuk nga Europa, ang mga insidente nga sama niini nagsilbing pahinumdom nga Ang seguridad wala magdepende lamang sa nag-unang tighatag.kondili sa tibuok network sa mga kompanya sa luyo niini. Ug kana, bisan kung ang paglapas sa datos wala maglakip sa mga password o panag-istoryahanay, ang peligro sa pagpanglimbong nagpabilin nga tinuod kung wala gisagop ang sukaranan nga mga batasan sa pagpanalipod.

Ang tanan nga nahitabo sa paglapas sa ChatGPT ug Mixpanel nagpakita kung giunsa bisan ang usa ka limitado nga pagtagas mahimong adunay hinungdanon nga mga sangputanan: gipugos niini ang OpenAI nga hunahunaon pag-usab ang relasyon niini sa mga ikatulo nga partido, giduso ang mga kompanya sa Europe ug mga developer nga repasohon ang ilang mga gawi sa seguridad, ug gipahinumdoman ang mga tiggamit nga ang ilang panguna nga depensa batok sa mga pag-atake nagpabilin nga nahibal-an. pagmonitor sa mga email nga ilang nadawat ug pagpalig-on sa proteksyon sa ilang mga account.

Alberto navarro

Usa ako ka mahiligon sa teknolohiya nga naghimo sa iyang "geek" nga interes nga usa ka propesyon. Gigugol nako ang sobra sa 10 ka tuig sa akong kinabuhi gamit ang labing bag-ong teknolohiya ug pag-usisa sa tanan nga mga klase sa mga programa tungod sa putli nga pagkamausisaon. Karon espesyalista na ako sa teknolohiya sa kompyuter ug mga dula sa video. Kini tungod kay sa sobra sa 5 ka tuig nagsulat ako alang sa lainlaing mga website sa teknolohiya ug mga dula sa video, nagmugna og mga artikulo nga nagtinguha sa paghatag kanimo sa impormasyon nga imong gikinahanglan sa usa ka pinulongan nga masabtan sa tanan.

Kung naa kay mga pangutana, ang akong kahibalo gikan sa tanan nga may kalabotan sa operating system sa Windows ingon man sa Android para sa mga mobile phone. Ug ang akong pasalig kanimo, andam ako kanunay nga mogahin og pipila ka minuto ug tabangan ka nga masulbad ang bisan unsang mga pangutana nga mahimo nimo sa niining kalibutan sa internet.