ChatGPT datu-urraketa: zer gertatu zen Mixpanel-ekin eta nola eragiten dizun

Erabiltzaileak Txateatu GPT Azken orduotan, bekain bat baino gehiago harritu dituen mezu elektroniko bat jaso dute: OpenAI-k bere API plataformarekin lotutako datu-urraketa baten berri eman duAbisua publiko zabal batengana iritsi da, zuzenean kaltetuak izan ez diren pertsonak barne, eta horrek nahasmen batzuk sortu zituen gertakariaren benetako irismenari buruz.

Enpresak baieztatu duena da egon dela bezero batzuen informaziorako baimenik gabeko sarbideaBaina arazoa ez da OpenAIren zerbitzarietan egon, baizik eta... Mixpanel, API interfazearen erabilera metrikak biltzen zituen hirugarrenen web analisi hornitzaile bat platform.openai.comHala ere, kasuak gaia berriro lehen planora ekartzen du. adimen artifizialeko zerbitzuetan datu pertsonalak nola kudeatzen diren eztabaida, baita Europan ere eta honen babespean RGPD.

Mixpanel-eko akats bat, ez OpenAI-ren sistemetan

OpenAI-k bere adierazpenean zehaztu duenez, gertakaria honako hau izan zen: Azaroaren 9Mixpanel-ek erasotzaile batek sarbidea lortu zuela detektatu zuenean bere azpiegitura zati batera baimenik gabeko sarbidea eta analisietarako erabilitako datu-multzo bat esportatu zuen. Aste horietan, saltzaileak barne-ikerketa bat egin zuen zein informazio arriskuan jarri zen zehazteko.

Mixpanel-ek argitasun gehiago izan zuenean, formalki jakinarazi zion OpenAIri azaroaren 25eankaltetutako datu-multzoa bidaltzea, enpresak bere bezeroengan duen eragina ebaluatu ahal izan dezan. Orduan bakarrik hasi zen OpenAI-k datuak gurutzatzen, identifikatu potentzialki inplikatutako kontuak eta prestatu egunotan mundu osoko milaka erabiltzaileri iristen zaizkien posta elektroniko bidezko jakinarazpenak.

OpenAI-k dioenez, Ez da intrusiorik izan haien zerbitzarietan, aplikazioetan edo datu-baseetanErasotzaileak ez zuen ChatGPT edo enpresaren barne sistemetarako sarbidea lortu, baizik eta analisi datuak biltzen ari zen hornitzaile baten ingurunera. Hala ere, azken erabiltzailearentzat, ondorio praktikoa berdina da: haien datu batzuk amaitu behar ez zuten lekuan.

Egoera mota hauek zibersegurtasunean eraso gisa ezagutzen denaren barruan sartzen dira. hornidura-kate digitalaPlataforma nagusiari zuzenean eraso egin beharrean, gaizkileek plataforma horretako datuak kudeatzen dituen eta askotan segurtasun-kontrol ez hain zorrotzak dituen hirugarren bat hartzen dute jomugan.

Lotutako artikulua:

Zer datu biltzen dituzte IA laguntzaileek eta nola babestu zure pribatutasuna

Zein erabiltzaile izan dira benetan kaltetuak

Zalantza gehien sortzen duen puntuetako bat nork kezkatu behar duen da. Puntu honetan, OpenAI nahiko argi izan da: Hutsuneak OpenAI APIa erabiltzen dutenei bakarrik eragiten die Sarearen bidez platform.openai.comHau da, batez ere garatzaileak, enpresak eta erakundeak enpresaren ereduak beren aplikazio eta zerbitzuetan integratzen dituztenak.

ChatGPT-ren ohiko bertsioa arakatzailean edo aplikazioan soilik erabiltzen duten erabiltzaileak, noizbehinkako kontsultak edo zeregin pertsonalak egiteko, Ez lirateke zuzenean eragingo gertakariagatik, enpresak bere adierazpen guztietan errepikatzen duen bezala. Hala ere, gardentasunaren mesedetan, OpenAIk informazio-mezu elektronikoa oso zabal bidaltzea erabaki zuen, eta horrek inplikatuta ez dauden pertsona asko kezkatu ditu.

APIaren kasuan, ohikoa da atzean egotea proiektu profesionalak, enpresa-integrazioak edo produktu komertzialakHau Europako enpresei ere aplikatzen zaie. Emandako informazioaren arabera, hornitzaile hau erabiltzen duten erakundeen artean teknologia-enpresa handiak eta startup txikiak daude, eta horrek indartzen du ekosistema digitaleko edozein jokalari zaurgarria dela analisi- edo monitorizazio-zerbitzuak azpikontratatzerakoan.

Lege ikuspuntutik, Europako bezeroentzat garrantzitsua da hau arau-hauste bat dela tratamenduaren arduraduna den pertsona (Mixpanel) OpenAIren izenean datuak kudeatzen dituena. Horrek eragiten dien erakundeei eta, hala badagokio, datuen babeserako agintaritzei jakinaraztea eskatzen du, GDPR araudiaren arabera.

Zein datu filtratu dira eta zein datu seguru jarraitzen dute

Erabiltzailearen ikuspuntutik, galdera nagusia zer nolako informazioa baztertu den da. OpenAI eta Mixpanel ados daude... profil datuak eta oinarrizko telemetria, analisietarako erabilgarria, baina ez IArekin izandako interakzioen edukirako edo sarbide-kredentzialetarako.

artean datu potentzialki agerian geratuak API kontuekin lotutako elementu hauek aurkitzen dira:

• Izena APIan kontua erregistratzean eman zen.
• E-posta helbidea kontu horrekin lotutakoa.
• Gutxi gorabeherako kokapena (hiria, probintzia edo estatua eta herrialdea), nabigatzailetik eta IP helbidetik ondorioztatuta.
• Sistema eragilea eta nabigatzailea sartzeko erabiltzen den platform.openai.com.
• Erreferentziazko webguneak API interfazea lortu den (erreferentziak).
• Barne erabiltzaile edo erakundearen identifikatzaileak API kontuari lotuta.

Tresna multzo honek bakarrik ez dio inori baimentzen kontu baten kontrola hartzea edo API deiak egitea erabiltzailearen izenean, baina bai erabiltzailearen profil nahiko osoa eskaintzen du nor den, nola konektatzen den eta zerbitzua nola erabiltzen duen. Erasotzaile batentzat... gizarte ingeniaritzaDatu hauek urre hutsa izan daitezke mezu elektroniko edo mezu oso sinesgarriak prestatzerakoan.

Aldi berean, OpenAI-k azpimarratzen du informazio bloke bat dagoela ez da arriskuan jarriEnpresaren arabera, seguru jarraitzen dute:

• Txat elkarrizketak ChatGPT-rekin, galderak eta erantzunak barne.
• API eskaerak eta erabilera erregistroak (sortutako edukia, parametro teknikoak, etab.).
• Pasahitzak, kredentzialak eta API gakoak kontuen.
• Ordainketa informazioa, hala nola txartelen zenbakiak edo fakturazio-informazioa.
• Nortasun agiri ofizialak edo bestelako informazio bereziki sentikorra.

Beste era batera esanda, gertakaria honen esparruan sartzen da identifikazio eta testuinguru datuakBaina ez ditu ukitu ez IArekin izandako elkarrizketak, ezta hirugarren bati kontuetan zuzenean eragiketak egiteko aukera emango lioketen gakoak ere.

Arrisku nagusiak: phishing-a eta ingeniaritza soziala

Erasotzaileak pasahitzik edo API giltzarik ez badu ere, horiek edukitzea izena, helbide elektronikoa, kokapena eta barne identifikatzaileak abiaraztea ahalbidetzen du iruzur kanpainak askoz sinesgarriagoa. Hemen jartzen ari dira OpenAI eta segurtasun adituek beren ahaleginak.

Informazio hori mahai gainean duzula, erraza da zilegi dirudien mezu bat sortzea: OpenAIren komunikazio estiloa imitatzen duten mezu elektronikoakAPIa aipatzen dute, erabiltzailea izenez aipatzen dute, eta baita haien hiria edo herrialdea ere aipatzen dute alerta errealagoa izan dadin. Ez dago azpiegitura erasotzeko beharrik erabiltzailea webgune faltsu batean bere kredentzialak emateko engainatu badezakezu.

Eszenatoki probableenak saiakerak dira phishing klasikoa (ustezko API kudeaketa paneletarako estekak "kontua egiaztatzeko") eta APIa intentsiboki erabiltzen duten erakundeetako administratzaileei edo enpresetako IT taldeei zuzendutako ingeniaritza sozialeko teknika landuagoen bidez.

Europan, puntu hau zuzenean lotuta dago GDPRren eskakizunekin. datuen minimizazioaZibersegurtasuneko espezialista batzuek, hala nola Europako hedabideetan aipatutako OX Security taldeak, adierazi dute produktuen analisietarako behar-beharrezkoa baino informazio gehiago biltzeak —adibidez, mezu elektronikoak edo kokapen-datu zehatzak— prozesatzen den datu kopurua ahalik eta gehien mugatzeko betebeharrarekin talka egin dezakeela.

OpenAIren erantzuna: Mixpanel-ekin haustura bat eta berrikuspen sakon bat

OpenAI-k gertakariaren xehetasun teknikoak jaso bezain laster, modu erabakigarrian erreakzionatzen saiatu zen. Lehenengo neurria izan zen Kendu Mixpanel integrazioa erabat bere ekoizpen-zerbitzu guztienak, hornitzaileak erabiltzaileek sortutako datu berrietarako sarbiderik izan ez dezan.

Aldi berean, enpresak adierazi du datu-multzo kaltetua sakonki aztertzen ari da kontu eta erakunde bakoitzean duen benetako eragina ulertzeko. Analisi horretan oinarrituta, hasi dira banan-banan jakinarazi erasotzaileak esportatutako datu-multzoan agertzen diren administratzaile, enpresei eta erabiltzaileei.

OpenAI-k ere hasi dela dio segurtasun-egiaztapen gehigarriak beren sistema guztietan eta kanpoko beste hornitzaile guztiekin norekin lan egiten duen. Helburua babes-eskakizunak handitzea, kontratu-klausulak indartzea eta hirugarren horiek informazioa nola biltzen eta gordetzen duten zorrotzago ikuskatzea da.

Konpainiak bere komunikazioetan azpimarratzen du “konfiantza, segurtasuna eta pribatutasunaHauek dira bere misioaren elementu nagusiak. Erretorikaz harago, kasu honek erakusten du nola bigarren mailako agente baten urraketa batek eragin zuzena izan dezakeen ChatGPT bezain zerbitzu erraldoi baten hautemandako segurtasunean.

Espainiako eta Europako erabiltzaileen eta enpresengan duen eragina

Europako testuinguruan, non GDPR eta etorkizuneko IA araudi espezifikoak Datuen babeserako maila altua ezartzen dute, eta horrelako gertakariak aztertzen dira. Europar Batasunetik OpenAI APIa erabiltzen duen edozein enpresarentzat, analisi hornitzaile batek datuen urraketa bat egitea ez da kontu makala.

Alde batetik, APIaren parte diren Europako datu-kontrolatzaileek beharko dute berrikusi haien inpaktu-ebaluazioak eta jarduera-erregistroak Mixpanel bezalako hornitzaileen erabilera nola deskribatzen den eta erabiltzaileei ematen zaien informazioa nahikoa argia den egiaztatzeko.

Bestalde, enpresako mezu elektronikoen, kokapenen eta erakundeen identifikatzaileen agerpenak atea irekitzen du Garapen taldeen, IT sailen edo IA proiektuen kudeatzaileen aurkako eraso zuzenduakEz da soilik erabiltzaile indibidualentzako arrisku potentzialei buruzkoa, baita OpenAI ereduetan negozio-prozesu kritikoak oinarritzen dituzten enpresentzat ere.

Espainian, hutsune mota hau radarrera iristen ari da. Datuak Babesteko Espainiako Agentzia (AEPD) lurralde nazionalean bizi diren herritarrei edo ezarritako erakundeei eragiten dietenean. Kaltetutako erakundeek uste badute ihesak pertsonen eskubide eta askatasunetarako arriskua dakarrela, ebaluatu egin behar dute eta, hala badagokio, agintaritza eskudunari ere jakinarazi.

Zure kontua babesteko aholku praktikoak

Azalpen teknikoez gain, erabiltzaile askok jakin nahi dutena da Zer egin behar dute oraintxe bertan?OpenAI-k dio pasahitza aldatzea ez dela ezinbestekoa, ez baita filtratu, baina aditu gehienek kontuz ibiltzeko gomendatzen dute.

OpenAI APIa erabiltzen baduzu, edo seguru egon nahi baduzu, komenigarria da oinarrizko urrats batzuk jarraitzea Arriskua izugarri murrizten dute erasotzaile batek filtratutako datuak ustia ditzakeela:

• Kontuz ibili ustekabeko mezu elektronikoekin OpenAI edo APIekin lotutako zerbitzuetatik datozela diotenak, batez ere "egiaztapen premiazkoa", "segurtasun-gertakaria" edo "kontuaren blokeoa" bezalako terminoak aipatzen badituzte.
• Beti egiaztatu bidaltzailearen helbidea eta estekak klik egin aurretik zuzendutako domeinua. Zalantzarik baduzu, hobe da eskuz sartzea. platform.openai.com URLa arakatzailean idaztea.
• Gaitu faktore anitzeko autentifikazioa (MFA/2FA) zure OpenAI kontuan eta beste edozein zerbitzu sentikorretan. Oso hesi eraginkorra da norbaitek zure pasahitza engainuaren bidez lortzen badu ere.
• Ez partekatu pasahitzak, API gakoak edo egiaztapen kodeak posta elektronikoz, txat bidez edo telefonoz. OpenAI-k gogorarazten die erabiltzaileei ez duela inoiz datu mota hau egiaztatu gabeko kanalen bidez eskatuko.
• Balioa aldatu zure pasahitza APIaren erabiltzaile amorratua bazara edo beste zerbitzu batzuetan berrerabiltzeko joera baduzu, normalean hobe da saihestea.

Enpresetan jarduten dutenentzat edo hainbat garatzailerekin proiektuak kudeatzen dituztenentzat, baliteke hau une egokia izatea barne segurtasun politikak berrikusiAPI sarbide baimenak eta intzidenteei erantzuteko prozedurak, zibersegurtasun taldeen gomendioekin lerrokatuz.

Datuen, hirugarrenen eta IA-rekiko konfiantzaren inguruko ikasgaiak

Mixpanel-en filtrazioa azken urteotako beste gertakari garrantzitsu batzuekin alderatuta mugatua izan da, baina une honetan gertatu da. IA zerbitzu generatiboak ohikoak bihurtu dira Honek bai norbanakoei bai Europako enpresei eragiten die. Norbaitek erregistratzen den bakoitzean, API bat integratzen duen bakoitzean edo informazioa tresna horretara igotzen duen bakoitzean, bere bizitza digitalaren zati handi bat hirugarrenen eskuetan jartzen ari da.

Kasu honek irakasten duen ikasgaietako bat beharra da kanpoko hornitzaileekin partekatutako datu pertsonalak minimizatuHainbat adituk azpimarratzen dute, enpresa legitimo eta ezagunekin lan egitean ere, ingurune nagusitik irteten den datu identifikagarri bakoitzak esposizio-puntu potentzial berri bat irekitzen duela.

Era berean, azpimarratzen du zenbateraino den komunikazio gardena Hau funtsezkoa da. OpenAI-k informazio zabala ematea aukeratu du, baita eraginik gabeko erabiltzaileei mezu elektronikoak bidaliz ere, eta horrek alarma sor dezake, baina, aldi berean, informazio faltaren susmo gutxiago uzten du.

Adimen artifiziala Europa osoko administrazio-prozeduretan, bankuetan, osasunean, hezkuntzan eta urruneko lanean integratzen jarraituko duen egoera batean, horrelako gertakariek gogorarazten digute... Segurtasuna ez dago hornitzaile nagusiaren menpe soilik.baizik eta atzean dauden enpresa-sare osoarena. Eta, datu-urraketak ez baditu ere pasahitzak edo elkarrizketak barne hartzen, iruzurraren arriskua oso erreala da oinarrizko babes-ohiturak hartzen ez badira.

ChatGPT eta Mixpanel-en urraketarekin gertatu den guztiak erakusten du filtrazio nahiko mugatu batek ere ondorio garrantzitsuak izan ditzakeela: OpenAI behartzen du hirugarrenekin duen harremana birplanteatzera, Europako enpresak eta garatzaileak beren segurtasun-jardunbideak berrikustera bultzatzen ditu eta erabiltzaileei gogorarazten die erasoen aurkako defentsa nagusia informatuta egotea dela. jasotzen dituzten mezu elektronikoak kontrolatu eta haien kontuen babesa indartu.

Alberto navarro

Bere "geek" interesak lanbide bihurtu dituen teknologia zalea naiz. Nire bizitzako 10 urte baino gehiago eman ditut punta-puntako teknologia erabiltzen eta era guztietako programak moldatzen jakin-min hutsagatik. Orain informatikako teknologian eta bideo-jokoetan espezializatu naiz. Izan ere, 5 urte baino gehiago daramatzadala teknologia eta bideo-jokoen inguruko hainbat webgunetan idazten, denontzat ulergarria den hizkuntza batean behar duzun informazioa eman nahi duten artikuluak sortzen.

Zalantzarik baduzu, nire ezagutza Windows sistema eragilearekin zerikusia duen guztia eta baita telefono mugikorretarako Android ere barne hartzen du. Eta nire konpromisoa zurekin da, beti prest nago minutu batzuk pasatzeko eta Interneteko mundu honetan izan ditzakezun zalantzak konpontzen laguntzeko.