Violazione di dati ChatGPT: ciò chì hè accadutu cù Mixpanel è cumu vi affetta

Usuari di Chat GPT In l'ultime ore, anu ricevutu un email chì hà fattu alzà più di un sopracciglia: OpenAI segnala una violazione di dati ligata à a so piattaforma APIL'avvertimentu hà righjuntu un publicu massivu, cumprese persone chì ùn sò state direttamente affettate, ciò chì hà hà generatu qualchì cunfusione nantu à a vera portata di l'incidentu.

Ciò chì a cumpagnia hà cunfirmatu hè chì ci hè statu un accessu micca autorizatu à l'infurmazioni di certi clientiMa u prublema ùn hè statu micca cù i servitori d'OpenAI, ma cù... Mixpanel, un fornitore di analisi web di terze parti chì hà raccoltu metriche d'usu di l'interfaccia API in platform.openai.comAncu cusì, u casu riporta a questione in primu pianu. dibattitu nantu à cumu i dati persunali sò gestiti in i servizii d'intelligenza artificiale, ancu in Europa è sottu à l'ombrellu di RGPD.

Un bug in Mixpanel, micca in i sistemi di OpenAI

Cum'è detallatu da OpenAI in a so dichjarazione, l'incidentu hè natu in 9 de novembrequandu Mixpanel hà rilevatu chì un attaccante avia ottenutu accessu accessu micca autorizatu à una parte di a so infrastruttura è avia esportatu un inseme di dati utilizatu per l'analisi. Durante quelle settimane, u venditore hà realizatu una investigazione interna per determinà quali informazioni eranu state compromesse.

Una volta chì Mixpanel hà avutu più chiarezza, hà infurmatu formalmente OpenAI u 25 di nuvembremandendu u dataset affettatu in modu chì a cumpagnia pudessi valutà l'impattu nantu à i so clienti. Solu tandu OpenAI hà cuminciatu à fà riferimenti incruciati di dati., identificà i conti potenzialmente implicati è preparà e notifiche per email chì ghjunghjenu oghje à migliaia d'utilizatori in u mondu sanu.

OpenAI insiste chì Ùn ci hè stata alcuna intrusione in i so servitori, applicazioni o basi di datiL'attaccante ùn hà micca ottenutu accessu à ChatGPT o à i sistemi interni di a cumpagnia, ma piuttostu à l'ambiente di un fornitore chì raccoglieva dati analitici. Ancu cusì, per l'utente finale, a cunsequenza pratica hè a listessa: alcuni di i so dati sò finiti induve ùn devenu micca esse.

Sti tipi di scenarii rientranu in ciò chì hè cunnisciutu in cibersigurtà cum'è attaccu à u catena di furnimentu digitaleInvece d'attaccà direttamente a piattaforma principale, i criminali miranu à una terza parte chì gestisce i dati di quella piattaforma è chì spessu hà cuntrolli di sicurezza menu severi.

Articulu ligatu:

Chì dati raccolgenu l'assistenti di l'IA è cumu prutege a vostra privacy

Quali utilizatori sò stati veramente affettati

Unu di i punti chì genera u più dubbitu hè quale duveria veramente esse preoccupatu. Nant'à questu puntu, OpenAI hè stata abbastanza chjara: A lacuna affetta solu quelli chì utilizanu l'API OpenAI attraversu u web platform.openai.comVale à dì, principalmente sviluppatori, cumpagnie è urganisazioni chì integranu i mudelli di a cumpagnia in e so applicazioni è servizii.

L'utilizatori chì utilizanu solu a versione regulare di ChatGPT in u navigatore o in l'app, per dumande occasionali o compiti persunali, Ùn sarianu micca stati direttamente affettati per via di l'incidentu, cum'è a cumpagnia ribadisce in tutte e so dichjarazioni. Eppuru, per via di a trasparenza, OpenAI hà sceltu di mandà l'email informativu in modu assai largu, ciò chì hà cuntribuitu à allarmà parechje persone chì ùn sò micca implicate.

In u casu di l'API, hè nurmale chì daretu ci sia prughjetti prufessiunali, integrazioni corporative, o prudutti cummercialiQuestu vale ancu per l'imprese europee. Sicondu l'infurmazioni furnite, l'urganisazioni chì utilizanu stu fornitore includenu sia grandi imprese tecnologiche sia piccule startup, ciò chì rinforza l'idea chì qualsiasi attore in l'ecosistema digitale hè vulnerabile quandu esternalizeghja servizii d'analisi o di monitoraghju.

Da un puntu di vista ghjuridicu, hè pertinente per i clienti europei chì questu hè una violazione in un persona incaricata di u trattamentu (Mixpanel) chì gestisce i dati per contu di OpenAI. Questu richiede a notificazione di l'urganisazioni affettate è, se del casu, di l'autorità di prutezzione di i dati, in cunfurmità cù e regulazioni GDPR.

Quali dati sò stati filtrati è quali dati restanu sicuri

Da u puntu di vista di l'utilizatore, a grande quistione hè chì tipu d'infurmazione hè stata lasciata fora. OpenAI è Mixpanel sò d'accordu chì hè... dati di prufilu è telemetria basica, utile per l'analitiche, ma micca per u cuntenutu di l'interazzione cù l'IA o e credenziali d'accessu.

Frà dati potenzialmente esposti Si trovanu i seguenti elementi relativi à i conti API:

• Cognome furnitu quandu si registra u contu in l'API.
• Indirizzu email assuciatu à quellu contu.
• Locu apprussimativu (cità, pruvincia o statu, è paese), deduttu da u navigatore è l'indirizzu IP.
• Sistema operativu è navigatore adupratu per accede platform.openai.com.
• Siti web di riferimentu (referrers) da i quali hè stata raggiunta l'interfaccia API.
• Identificatori di l'utilizatori interni o di l'urganizazione ligatu à u contu API.

Questu inseme di strumenti da solu ùn permette micca à nimu di piglià u cuntrollu di un contu o di eseguisce chjamate API per contu di l'utilizatore, ma furnisce un prufilu abbastanza cumpletu di quale hè l'utilizatore, cumu si cunnetta è cumu usa u serviziu. Per un attaccante specializatu in ingegneria sucialeQuesti dati ponu esse oru puru quandu si preparanu email o missaghji estremamente cunvincenti.

À u listessu tempu, OpenAI mette in risaltu chì ci hè un bloccu d'infurmazione chì ùn hè statu cumprumessuSicondu a cumpagnia, restanu sicuri:

• Cunversazioni di chat cù ChatGPT, cumpresi prompt è risposte.
• Richieste API è registri d'usu (cuntenutu generatu, parametri tecnichi, ecc.).
• Password, credenziali è chjave API di i cunti.
• Infurmazione di pagamentu, cum'è i numeri di carte o l'infurmazioni di fatturazione.
• Documenti d'identità ufficiali o altre informazioni particularmente sensibili.

In altre parolle, l'incidentu rientra in u scopu di dati d'identificazione è cuntestualiMa ùn hà toccu nè e cunversazione cù l'IA nè e chjave chì permetterebbenu à una terza parte di operà direttamente nantu à i conti.

I principali risichi: phishing è ingegneria suciale

Ancu s'è l'attaccante ùn hà micca password o chjave API, avè li nome, indirizzu email, locu è identificatori interni permette u lanciu campagne di frode assai più credibile. Hè quì chì OpenAI è l'esperti di sicurezza stanu cuncentrendu i so sforzi.

Cù sta infurmazione nantu à a tavula, hè faciule di custruisce un missaghju chì pare legittimu: email chì imitanu u stile di cumunicazione di OpenAIMenzionanu l'API, citanu l'utilizatore per nome, è ancu alludenu à a so cità o paese per fà chì l'alerta pare più reale. Ùn ci hè bisognu d'attaccà l'infrastruttura sè pudete ingannà l'utilizatore per fà li dà e so credenziali nantu à un situ web falsu.

I scenarii più prubabili implicanu tentativi di phishing classicu (ligami à presunti pannelli di gestione API per "verificà u contu") è da tecniche d'ingegneria suciale più elaborate destinate à l'amministratori di urganisazioni o squadre IT in cumpagnie chì utilizanu l'API intensamente.

In Europa, questu puntu hè direttamente ligatu à i requisiti di u GDPR. minimizazione di datiCerti spezialisti di a cibersigurtà, cum'è a squadra OX Security citata in i media europei, indicanu chì a raccolta di più informazioni di quelle strettamente necessarie per l'analisi di i prudutti - per esempiu, e-mail o dati di lucalizazione dettagliati - pò scontrassi cù l'obbligazione di limità u più pussibule a quantità di dati trattati.

A risposta di OpenAI: una pausa cù Mixpanel è una rivista approfondita

Una volta chì OpenAI hà ricevutu i dettagli tecnichi di l'incidentu, hà pruvatu à reagisce decisivamente. A prima misura hè stata caccià cumpletamente l'integrazione di Mixpanel di tutti i so servizii di pruduzzione, affinchì u fornitore ùn abbia più accessu à i novi dati generati da l'utilizatori.

À u listessu tempu, a cumpagnia dichjara chì esamina accuratamente u dataset affettatu per capisce l'impattu reale nantu à ogni contu è urganizazione. Basatu annantu à sta analisi, anu cuminciatu à avvisà individualmente à l'amministratori, l'imprese è l'utilizatori chì cumpariscenu in u dataset esportatu da l'attaccante.

OpenAI afferma ancu ch'ella hà cuminciatu cuntrolli di sicurezza supplementari nantu à tutti i so sistemi è cù tutti l'altri fornitori esterni cù quale travaglia. L'obiettivu hè di elevà i requisiti di prutezzione, rinfurzà e clausole cuntrattuali è verificà più rigorosamente cumu queste terze parti raccolgenu è almacenanu l'infurmazioni.

L'impresa mette in risaltu in e so cumunicazioni chì "fiducia, sicurezza è privacyQuessi sò elementi cintrali di a so missione. Aldilà di a retorica, questu casu illustra cumu una violazione in un agente apparentemente secundariu pò avè un effettu direttu nantu à a sicurezza percepita di un serviziu cusì massivu cum'è ChatGPT.

Impattu nantu à l'utilizatori è l'imprese in Spagna è in Europa

In u cuntestu europeu, induve u GDPR è futuri regulamenti specifichi per l'IA Anu stabilitu un standard altu per a prutezzione di i dati, è incidenti cum'è questu sò esaminati attentamente. Per ogni sucietà chì usa l'API OpenAI da l'Unione Europea, una violazione di dati da un fornitore di analisi ùn hè micca una cosa da pocu.

Da una parte, i cuntrolli di dati europei chì facenu parte di l'API devenu rivede e so valutazioni d'impattu è i registri d'attività per verificà cumu hè descrittu l'usu di fornitori cum'è Mixpanel è se l'infurmazioni furnite à i so utilizatori sò abbastanza chjare.

Da l'altra parte, l'esposizione di e-mail aziendali, lochi è identificatori urganizativi apre a porta à Attacchi mirati contr'à e squadre di sviluppu, i dipartimenti IT o i gestori di prughjetti di IAQuestu ùn hè micca solu di risichi putenziali per l'utilizatori individuali, ma ancu per e cumpagnie chì basanu i prucessi cummerciali critichi nantu à i mudelli OpenAI.

In Spagna, stu tipu di lacuna hè ghjunta nantu à u radar di u Agenzia Spagnola di Prutezzione di Dati (AEPD) quandu affettanu i citadini residenti o entità stabilite in u territoriu naziunale. Sè l'urganisazioni affettate consideranu chì a fuga rapprisenta un risicu per i diritti è e libertà di l'individui, sò ubligati à valutalla è, se del casu, à notificà ancu l'autorità competente.

Cunsiglii pratichi per prutege u vostru contu

Oltre à e spiegazioni tecniche, ciò chì parechji utilizatori volenu sapè hè Chì anu da fà avà?OpenAI insiste chì cambià a password ùn hè micca essenziale, postu chì ùn hè stata divulgata, ma a maiò parte di l'esperti cunsiglianu di applicà un stratu supplementu di prudenza.

Sè vo aduprate l'API OpenAI, o vulete solu esse sicuru, hè cunsigliatu di seguità una seria di passi basi chì Riducenu drasticamente u risicu chì un attaccante puderia sfruttà i dati filtrati:

• Attenti à i email inaspettati chì pretendenu esse da OpenAI o servizii ligati à l'API, soprattuttu s'elli menzionanu termini cum'è "verifica urgente", "incidente di sicurezza" o "bloccamentu di u contu".
• Verificate sempre l'indirizzu di u mittente è u duminiu à u quale puntanu i ligami prima di cliccà. Sè avete qualchì dubbitu, hè megliu accede manualmente. platform.openai.com scrivendu l'URL in u navigatore.
• Attivà l'autenticazione multifattore (MFA/2FA) nant'à u vostru contu OpenAI è qualsiasi altru serviziu sensibile. Hè una barriera assai efficace ancu s'è qualchissia ottiene a vostra password per ingannu.
• Ùn sparte micca password, chjave API, o codici di verificazione via email, chat, o telefonu. OpenAI ricorda à l'utilizatori chì ùn dumanderà mai stu tipu di dati per via di canali micca verificati.
• Valore cambià a vostra chjave Sè vo site un utilizatore impurtante di l'API o sè vo avete a tendenza à riutilizalla in altri servizii, qualcosa chì hè generalmente megliu evità.

Per quelli chì operanu da cumpagnie o gestiscenu prughjetti cù parechji sviluppatori, questu puderia esse un bonu mumentu per rivedere e pulitiche di sicurezza internaPermessi d'accessu à l'API è prucedure di risposta à l'incidenti, allineenduli cù e raccomandazioni di e squadre di cibersigurtà.

Lezioni nantu à i dati, e terze parti è a fiducia in l'IA

A fuga di Mixpanel hè stata limitata paragunata à altri incidenti maiò di l'ultimi anni, ma vene in un mumentu quandu I servizii di IA generativa sò diventati cumuni Questu vale sia per l'individui sia per l'imprese europee. Ogni volta chì qualchissia si registra, integra un'API, o carica informazioni nantu à un tale strumentu, mette una parte significativa di a so vita digitale in manu à terze parti.

Una di e lezioni chì stu casu insegna hè a necessità di minimizà i dati persunali spartuti cù i fornitori esterniParechji esperti sottolineanu chì, ancu quandu si travaglia cù cumpagnie legittime è cunnisciute, ogni pezzu di dati identificabile chì abbanduneghja l'ambiente principale apre un novu puntu potenziale di esposizione.

Mette ancu in risaltu a misura in cui u cumunicazione trasparente Questu hè chjave. OpenAI hà sceltu di furnisce infurmazioni generali, ancu mandendu email à l'utilizatori micca affettati, ciò chì pò causà qualchì alarme ma, à u so tornu, lascia menu spaziu per u suspettu di una mancanza d'infurmazioni.

In un scenariu induve l'IA cuntinuerà à esse integrata in e procedure amministrative, bancarie, sanitarie, educative è di u travagliu à distanza in tutta l'Europa, incidenti cum'è questu servenu cum'è ricordu chì A sicurità ùn dipende micca solu da u fornitore principale.ma piuttostu di tutta a reta di cumpagnie daretu. È chì, ancu s'è a violazione di dati ùn include micca password o conversazioni, u risicu di fraude ferma assai reale s'è l'abitudini di prutezzione basiche ùn sò micca aduttate.

Tuttu ciò chì hè accadutu cù a violazione di ChatGPT è Mixpanel mostra cumu ancu una fuga relativamente limitata pò avè cunsequenze significative: forza OpenAI à ripensà a so relazione cù terze parti, spinge e cumpagnie europee è i sviluppatori à rivedere e so pratiche di sicurezza, è ricorda à l'utilizatori chì a so principale difesa contr'à l'attacchi ferma esse infurmati. surveglià l'email chì ricevenu è rinfurzà a prutezzione di i so conti.

Alberto Navarro

Sò un entusiasta di a tecnulugia chì hà trasfurmatu i so interessi "geek" in una professione. Aghju passatu più di 10 anni di a mo vita cù a tecnulugia d'avanguardia è scacciendu ogni tipu di prugrammi per pura curiosità. Avà sò specializatu in tecnulugia di computer è video games. Questu hè chì dapoi più di 5 anni aghju scrittu per diversi siti web nantu à a tecnulugia è i video games, creendu articuli chì cercanu di dà l'infurmazioni chì avete bisognu in una lingua chì hè comprensibile à tutti.

Sì avete qualchì quistione, a mo cunniscenza varieghja da tuttu ciò chì riguarda u sistema operatore Windows è ancu Android per i telefunini. È u mo impegnu hè di voi, sò sempre dispostu à passà uni pochi di minuti è aiutavvi à risolve tutte e dumande chì pudete avè in questu mondu Internet.