ChatGPT andmete rikkumine: mis juhtus Mixpaneliga ja kuidas see teid mõjutab

Kasutajad ChatGPT Viimaste tundide jooksul on nad saanud e-kirja, mis on kergitanud rohkem kui ühe kulmu: OpenAI teatab oma API platvormiga seotud andmete rikkumisestHoiatus on jõudnud laia publiku ette, sealhulgas inimesteni, keda see otseselt ei mõjutanud. tekitas teatavat segadust juhtumi tegeliku ulatuse kohta.

Ettevõte on kinnitanud, et on toimunud volitamata juurdepääs teatud klientide teabeleAga probleem pole olnud OpenAI serverites, vaid... Mixpanel, kolmanda osapoole veebianalüütika pakkuja, mis kogus API-liidese kasutusmõõdikuid platform.openai.comSellegipoolest toob see juhtum probleemi taas esile. arutelu selle üle, kuidas tehisintellekti teenustes isikuandmeid hallatakse, ka Euroopas ja selle egiidi all RGPD.

Viga Mixpanelis, mitte OpenAI süsteemides

Nagu OpenAI oma avalduses täpsustas, sai intsident alguse November 9kui Mixpanel tuvastas ründaja juurdepääsu volitamata juurdepääs osale oma infrastruktuurist ja oli eksportinud analüüsiks kasutatud andmestiku. Nende nädalate jooksul viis müüja läbi sisejuurdluse, et teha kindlaks, milline teave oli ohtu sattunud.

Kui Mixpanelil oli rohkem selgust, teatas OpenAI-st ametlikult 25. novembrilmõjutatud andmestiku saatmine, et ettevõte saaks hinnata mõju oma klientidele. Alles siis hakkas OpenAI andmeid ristviitama., tuvastada potentsiaalselt seotud kontod ja valmistada ette e-posti teel saadetavad teavitused, mis tänapäeval saabuvad tuhandetele kasutajatele üle maailma.

OpenAI nõuab, et Nende serveritesse, rakendustesse ega andmebaasidesse pole sissetungi toimunud.Ründaja ei saanud ligipääsu ChatGPT-le ega ettevõtte sisemistele süsteemidele, vaid pigem analüütikaandmeid koguva teenusepakkuja keskkonnale. Sellegipoolest on lõppkasutaja jaoks praktiline tagajärg sama: osa tema andmetest on sattunud kohta, kuhu nad ei peaks jõudma.

Sellised stsenaariumid kuuluvad küberturvalisuses rünnaku alla, mida nimetatakse rünnakuks digitaalne tarneahelSuure platvormi otsese ründamise asemel sihivad kurjategijad kolmandat osapoolt, kes haldab sellelt platvormilt pärinevaid andmeid ja kellel on sageli leebemad turvakontrollid.

Seotud artikkel:

Milliseid andmeid tehisintellekti assistendid koguvad ja kuidas oma privaatsust kaitsta?

Milliseid kasutajaid see tegelikult mõjutanud on

Üks enim kahtlusi tekitavaid punkte on see, kes peaks tegelikult muretsema. Selles küsimuses on OpenAI olnud üsna selge: See vahe mõjutab ainult neid, kes kasutavad OpenAI API-t. veebi kaudu platform.openai.comSee tähendab, et peamiselt arendajad, ettevõtted ja organisatsioonid mis integreerivad ettevõtte mudeleid oma rakendustesse ja teenustesse.

Kasutajad, kes kasutavad brauseris või rakenduses ainult ChatGPT tavaversiooni aeg-ajalt päringute või isiklike ülesannete jaoks, Neid poleks otseselt mõjutatud intsidendi tõttu, nagu ettevõte kõigis oma avaldustes kordab. Sellegipoolest otsustas OpenAI läbipaistvuse huvides saata informatiivse e-kirja väga laialdaselt, mis on aidanud ärevusse ajada paljusid inimesi, kes pole asjaga seotud.

API puhul on tavaline, et selle taga on professionaalsed projektid, ettevõtete integratsioonid või kommertstootedSee kehtib ka Euroopa ettevõtete kohta. Esitatud teabe kohaselt hõlmavad seda teenusepakkujat kasutavad organisatsioonid nii suuri tehnoloogiaettevõtteid kui ka väikeseid idufirmasid, mis kinnitab ideed, et iga digitaalse ökosüsteemi osaleja on analüütika- või jälgimisteenuste tellimisel haavatav.

Õiguslikust seisukohast on Euroopa klientide jaoks oluline, et tegemist on rikkumisega ravi eest vastutav isik (Mixpanel), mis haldab andmeid OpenAI nimel. See eeldab asjaomaste organisatsioonide ja vajaduse korral andmekaitseasutuste teavitamist vastavalt GDPR-i määrustele.

Millised andmed on lekkinud ja millised andmed on endiselt turvalised

Kasutaja vaatenurgast on suur küsimus selles, millist teavet on välja jäetud. OpenAI ja Mixpanel on ühel meelel, et see on... profiiliandmed ja põhiline telemeetria, kasulik analüütika jaoks, aga mitte tehisintellekti või juurdepääsuõigustega suhtlemise sisu jaoks.

Vahel potentsiaalselt ohustatud andmed Leitakse järgmised API-kontodega seotud elemendid:

• nimi esitatakse konto registreerimisel API-s.
• E-posti aadress selle kontoga seotud.
• Ligikaudne asukoht (linn, maakond või osariik ja riik), mis tuletatakse brauserist ja IP-aadressist.
• Operatsioonisüsteem ja brauser kasutatakse juurdepääsuks platform.openai.com.
• Viiteveebisaidid (viitajad), millelt API-liideseni jõuti.
• Sisemise kasutaja või organisatsiooni identifikaatorid lingitud API kontoga.

See tööriistakomplekt üksi ei võimalda kellelgi kontot kontrollida ega kasutaja nimel API-kõnesid teha, kuid see annab üsna täieliku profiili sellest, kes kasutaja on, kuidas ta ühendub ja kuidas ta teenust kasutab. Ründaja jaoks, kes on spetsialiseerunud sotsiaalne tehnikaNeed andmed võivad olla puhas kuld, kui koostada äärmiselt veenvaid e-kirju või sõnumeid.

Samal ajal rõhutab OpenAI, et on olemas infoblokk, mis ei ole ohustatudEttevõtte sõnul jäävad nad turvaliseks:

• Vestlused ChatGPT-ga, sh küsimused ja vastused.
• API-päringud ja kasutuslogid (loodud sisu, tehnilised parameetrid jne).
• Paroolid, volikirjad ja API-võtmed kontodest.
• Makseandmed, näiteks kaardinumbrid või arveldusinfo.
• Ametlikud isikut tõendavad dokumendid või muud eriti tundlikku teavet.

Teisisõnu, intsident kuulub ... reguleerimisalasse. tuvastavad ja kontekstuaalsed andmedKuid see pole puudutanud ei tehisintellektiga peetud vestlusi ega võtmeid, mis võimaldaksid kolmandal osapoolel kontodega otse tegutseda.

Peamised riskid: andmepüük ja sotsiaalne manipuleerimine

Isegi kui ründajal pole paroole ega API-võtmeid, siis nende omamine nimi, e-posti aadress, asukoht ja sisemised identifikaatorid võimaldab käivitada pettusekampaaniad palju usaldusväärsem. Just sellele keskenduvad OpenAI ja turvaeksperdid.

Selle teabe põhjal on lihtne koostada sõnum, mis tundub õigustatud: e-kirjad, mis matkivad OpenAI suhtlusstiiliNad mainivad API-t, tsiteerivad kasutajat nimepidi ja vihjavad isegi tema linnale või riigile, et hoiatus kõlaks realistlikumalt. Pole vaja infrastruktuuri rünnata, kui õnnestub kasutajat petta ja ta saab võltsveebisaidil oma volitusi andma.

Kõige tõenäolisemad stsenaariumid hõlmavad katseid klassikaline andmepüük (lingid väidetavatele API halduspaneelidele „konto kinnitamiseks”) ja keerukamate sotsiaalse manipuleerimise tehnikate abil, mis on suunatud organisatsioonide administraatoritele või IT-meeskondadele ettevõtetes, kes API-t intensiivselt kasutavad.

Euroopas on see punkt otseselt seotud isikuandmete kaitse üldmääruse (GDPR) nõuetega. andmete minimeerimineMõned küberturvalisuse spetsialistid, näiteks Euroopa meedias tsiteeritud OX Security meeskond, juhivad tähelepanu sellele, et tooteanalüütika jaoks hädavajalikust suurema hulga teabe kogumine – näiteks e-kirjad või üksikasjalikud asukohaandmed – võib minna vastuollu kohustusega piirata töödeldavate andmete hulka nii palju kui võimalik.

OpenAI vastus: paus Mixpaneliga ja põhjalik ülevaade

Kui OpenAI oli intsidendi tehnilised üksikasjad kätte saanud, püüdis ta otsustavalt reageerida. Esimene meede oli eemaldage Mixpaneli integratsioon täielikult kõigist oma tootmisteenustest, nii et teenusepakkujal pole enam juurdepääsu kasutajate loodud uutele andmetele.

Samal ajal teatab ettevõte, et vaatab mõjutatud andmekogumi põhjalikult üle et mõista iga konto ja organisatsiooni tegelikku mõju. Selle analüüsi põhjal on nad hakanud teavitada eraldi administraatoritele, ettevõtetele ja kasutajatele, kes ilmuvad ründaja eksporditud andmestikus.

OpenAI väidab ka, et on alustanud täiendavad turvakontrollid kõigis oma süsteemides ja kõigi teiste väliste pakkujate juures kellega see töötab. Eesmärk on tõsta kaitsenõudeid, tugevdada lepinguklausleid ja rangemalt kontrollida, kuidas need kolmandad osapooled teavet koguvad ja säilitavad.

Ettevõte rõhutab oma kommunikatsioonis, et „usaldus, turvalisus ja privaatsusNeed on selle missiooni kesksed elemendid. Lisaks retoorikale illustreerib see juhtum, kuidas pealtnäha teisejärgulise agendi rikkumine võib otseselt mõjutada nii ulatusliku teenuse nagu ChatGPT tajutavat turvalisust.

Mõju kasutajatele ja ettevõtetele Hispaanias ja Euroopas

Euroopa kontekstis, kus GDPR ja tulevased tehisintellekti spetsiifilised regulatsioonid Nad seavad andmekaitsele kõrge lati ja selliseid intsidente uuritakse hoolikalt. Iga ettevõtte jaoks, mis kasutab OpenAI API-t Euroopa Liidus, pole analüütikateenuse pakkuja andmete rikkumine väike asi.

Ühelt poolt peavad API-sse kuuluvad Euroopa andmetöötlejad vaadata üle nende mõjuhinnangud ja tegevuslogid et kontrollida, kuidas on kirjeldatud selliste pakkujate nagu Mixpaneli kasutamist ja kas nende endi kasutajatele pakutav teave on piisavalt selge.

Teisest küljest avab ettevõtete meilide, asukohtade ja organisatsiooniliste identifikaatorite avalikustamine ukse Sihipärased rünnakud arendusmeeskondade, IT-osakondade või tehisintellekti projektijuhtide vastuSee ei puuduta ainult üksikute kasutajate võimalikke riske, vaid ka ettevõtteid, mis tuginevad olulistele äriprotsessidele OpenAI mudelitel.

Hispaanias on seda tüüpi lõhe sattunud tähelepanu keskpunkti. Hispaania andmekaitseagentuur (AEPD) kui need mõjutavad riigi territooriumil elavaid kodanikke või asutatud üksusi. Kui mõjutatud organisatsioonid leiavad, et leke kujutab endast ohtu üksikisikute õigustele ja vabadustele, on nad kohustatud seda hindama ja vajaduse korral teavitama ka pädevat asutust.

Praktilised näpunäited oma konto kaitsmiseks

Lisaks tehnilistele selgitustele tahavad paljud kasutajad teada ka seda, Mida nad peavad praegu tegema?OpenAI väidab kindlalt, et parooli muutmine pole hädavajalik, kuna seda pole lekkinud, kuid enamik eksperte soovitab rakendada täiendavat ettevaatusabinõuna.

Kui kasutate OpenAI API-t või soovite lihtsalt olla kindlad, on soovitatav järgida mitmeid põhisamme, mis Need vähendavad oluliselt riski et ründaja võib lekkinud andmeid ära kasutada:

• Olge ootamatute meilide suhtes ettevaatlik mis väidavad end pärinevat OpenAI-st või API-ga seotud teenustest, eriti kui need sisaldavad termineid nagu „kiireloomuline kinnitus”, „turvaintsident” või „konto lukustus”.
• Kontrollige alati saatja aadressi ja domeeni, millele lingid viitavad enne klõpsamist. Kahtluse korral on kõige parem sellele käsitsi ligi pääseda. platform.openai.com tippides URL-i brauserisse.
• Mitmefaktorilise autentimise (MFA/2FA) lubamine teie OpenAI kontol ja mis tahes muus tundlikus teenuses. See on väga tõhus tõke isegi siis, kui keegi saab teie parooli pettuse teel kätte.
• Ärge jagage paroole, API-võtmeid ega kinnituskoode e-posti, vestluse või telefoni teel. OpenAI tuletab kasutajatele meelde, et ta ei küsi seda tüüpi andmeid kunagi kontrollimata kanalite kaudu.
• Väärtus muutke oma parooli Kui olete API suur kasutaja või kipute seda teistes teenustes uuesti kasutama, on seda üldiselt parem vältida.

Neile, kes tegutsevad ettevõtetes või haldavad projekte mitme arendajaga, võib see olla hea aeg vaadake üle sisejulgeolekupoliitikadAPI juurdepääsuload ja intsidentidele reageerimise protseduurid, viies need kooskõlla küberturvalisuse meeskondade soovitustega.

Õppetunnid andmete, kolmandate osapoolte ja tehisintellekti usalduse kohta

Mixpaneli leke on viimaste aastate teiste suuremate intsidentidega võrreldes olnud piiratud, kuid see leiab aset ajal, mil Generatiivsed tehisintellekti teenused on muutunud tavaliseks See kehtib nii eraisikute kui ka Euroopa ettevõtete kohta. Iga kord, kui keegi registreerub, integreerib API või laadib sellisesse tööriista teavet, annab ta olulise osa oma digitaalsest elust kolmandate isikute kätte.

Üks õppetundidest, mida see juhtum annab, on vajadus minimeerida väliste teenusepakkujatega jagatud isikuandmeidMitmed eksperdid rõhutavad, et isegi legitiimsete ja tuntud ettevõtetega töötades avab iga põhikeskkonnast lahkuv tuvastatav andmekild uue potentsiaalse kokkupuutepunkti.

Samuti toob see esile, mil määral läbipaistev suhtlus See on võtmetähtsusega. OpenAI on otsustanud pakkuda laiaulatuslikku teavet, saates isegi e-kirju mõjutamata kasutajatele, mis võib küll tekitada teatavat ärevust, kuid jätab omakorda vähem ruumi kahtlusteks teabe puudumise osas.

Stsenaariumis, kus tehisintellekti integreeritakse jätkuvalt haldusprotseduuridesse, pangandusse, tervishoidu, haridusse ja kaugtöösse kogu Euroopas, tuletavad sellised juhtumid meelde, et Turvalisus ei sõltu ainult peamisest teenusepakkujast.vaid pigem kogu selle taga oleva ettevõtete võrgustiku oma. Ja et isegi kui andmete rikkumine ei hõlma paroole ega vestlusi, on pettuseoht endiselt väga reaalne, kui ei võeta kasutusele elementaarseid kaitseharjumusi.

Kõik, mis ChatGPT ja Mixpaneli rikkumisega juhtus, näitab, kuidas isegi suhteliselt piiratud lekkel võib olla olulisi tagajärgi: see sunnib OpenAI-d ümber mõtlema oma suhteid kolmandate osapooltega, õhutab Euroopa ettevõtteid ja arendajaid oma turvapraktikaid üle vaatama ning tuletab kasutajatele meelde, et nende peamine kaitse rünnakute vastu on endiselt informeeritud olemine. jälgida neile saadetud e-kirju ja tugevdada nende kontode kaitset.

Alberto navarro

Olen tehnoloogiahuviline, kes on muutnud oma "nohikese" huvidest elukutse. Olen veetnud üle 10 aasta oma elust tipptehnoloogiat kasutades ja puhtast uudishimust igasuguste programmide kallal nokitsenud. Nüüd olen spetsialiseerunud arvutitehnoloogiale ja videomängudele. Seda seetõttu, et rohkem kui 5 aastat olen kirjutanud erinevatele tehnoloogia ja videomängude veebisaitidele, luues artikleid, mille eesmärk on anda teile vajalikku teavet kõigile arusaadavas keeles.

Kui teil on küsimusi, siis minu teadmised ulatuvad kõigest, mis on seotud nii Windowsi operatsioonisüsteemiga kui ka Androidiga mobiiltelefonidele. Ja ma olen pühendunud teile, olen alati nõus kulutama paar minutit ja aitama teil lahendada kõik küsimused, mis teil selles Interneti-maailmas tekkida võivad.