Tietomurto ChatGPT:ssä ja Mixpanelissa: mitä tapahtui

Tietomurto ei tapahtunut OpenAI:n järjestelmissä, vaan ulkoisessa analytiikkapalvelussa Mixpanelissa.
Vain platform.openai.com-sivuston API:a käyttävät käyttäjät, pääasiassa kehittäjät ja yritykset, ovat kärsineet tästä.
Tunnistavia ja teknisiä tietoja on paljastunut, mutta ei keskusteluja, salasanoja, API-avaimia tai maksutietoja.
OpenAI on katkaissut välinsä Mixpanelin kanssa, tarkastelee kaikkia palveluntarjoajiaan ja suosittelee lisävarotoimia tietojenkalastelua vastaan.

Käyttäjät ChatGPT Viime tuntien aikana he ovat saaneet sähköpostin, joka on nostattanut useamman kuin yhden kulmakarvan: OpenAI raportoi API-alustaan liittyvästä tietomurrostaVaroitus on tavoittanut laajan yleisön, mukaan lukien ihmisiä, joihin se ei suoraan vaikuttanut. aiheutti jonkin verran hämmennystä tapahtuman todellisesta laajuudesta.

Yhtiö on vahvistanut, että on tapahtunut luvaton pääsy joihinkin asiakastietoihinMutta ongelma ei ole ollut OpenAI:n palvelimissa, vaan... Mixpanel, kolmannen osapuolen verkkoanalytiikan tarjoaja, joka keräsi API-rajapinnan käyttötietoja platform.openai.comSilti tapaus nostaa asian takaisin ajankohtaiseksi. keskustelu siitä, miten henkilötietoja hallitaan tekoälypalveluissa, myös Euroopassa ja sen alaisuudessa RGPD.

Vika Mixpanelissa, ei OpenAI:n järjestelmissä

Mixpanelin ja ChatGPT:n virhe

Kuten OpenAI on tiedotteessaan yksityiskohtaisesti kuvaillut, tapaus sai alkunsa Marraskuu 9kun Mixpanel havaitsi hyökkääjän päässeen käsiksi luvaton pääsy osaan sen infrastruktuurista ja oli vienyt analyysissä käytetyn tietojoukon. Näiden viikkojen aikana toimittaja suoritti sisäisen tutkinnan selvittääkseen, mitkä tiedot olivat vaarantuneet.

Kun Mixpanelilla oli enemmän selkeyttä, ilmoitti virallisesti OpenAI:lle 25. marraskuutalähettämällä kyseessä olevan tietoaineiston, jotta yritys voisi arvioida sen vaikutusta omiin asiakkaisiinsa. Vasta sitten OpenAI alkoi ristiviittaa dataan, tunnistaa mahdollisesti asiaan liittyvät tilit ja valmistella sähköposti-ilmoitukset, jotka saapuvat nykyään tuhansille käyttäjille ympäri maailmaa.

OpenAI vaatii, että Heidän palvelimilleen, sovelluksiinsa tai tietokantoihinsa ei ole tunkeuduttu.Hyökkääjä ei päässyt käsiksi ChatGPT:hen tai yrityksen sisäisiin järjestelmiin, vaan pikemminkin analytiikkadataa keräävän palveluntarjoajan ympäristöön. Loppukäyttäjälle käytännön seuraus on kuitenkin sama: osa heidän datastaan on päätynyt vääriin paikkoihin.

Tällaiset skenaariot kuuluvat kyberturvallisuuden piiriin hyökkäyksenä. digitaalinen toimitusketjuSen sijaan, että rikolliset hyökkäisivät suoraan pääalustaa vastaan, he kohdistavat hyökkäyksensä kolmanteen osapuoleen, joka käsittelee kyseisen alustan tietoja ja jolla on usein vähemmän tiukat turvatoimet.

Aiheeseen liittyvä artikkeli:

Mitä tietoja tekoälyavustajat keräävät ja miten yksityisyyttäsi suojataan?

Ketkä käyttäjät ovat todellisuudessa kärsineet

chatgpt-tietomurto

Yksi eniten epäilyksiä herättävistä kohdista on se, kenen pitäisi oikeasti olla huolissaan. Tässä asiassa OpenAI on ollut varsin selkeä: Ero vaikuttaa vain niihin, jotka käyttävät OpenAI-rajapintaa. verkon kautta platform.openai.comEli pääasiassa kehittäjät, yritykset ja organisaatiot jotka integroivat yrityksen mallit omiin sovelluksiinsa ja palveluihinsa.

Käyttäjät, jotka käyttävät ChatGPT:n tavallista versiota vain selaimessa tai sovelluksessa satunnaisiin kyselyihin tai henkilökohtaisiin tehtäviin, Heihin ei olisi kohdistunut suoraa vaikutusta tapauksen vuoksi, kuten yritys toistaa kaikissa lausunnoissaan. Silti OpenAI päätti läpinäkyvyyden vuoksi lähettää tiedotussähköpostin hyvin laajasti, mikä on osaltaan hälyttänyt monia ihmisiä, jotka eivät ole osallisina asiaan.

Ainutlaatuinen sisältö - Napsauta tästä Kuinka suojata Gmail-tilisi

API:n tapauksessa on tavallista, että sen takana on ammattimaiset projektit, yritysintegraatiot tai kaupalliset tuotteetTämä koskee myös eurooppalaisia yrityksiä. Annettujen tietojen mukaan tätä palveluntarjoajaa käyttävien organisaatioiden joukossa on sekä suuria teknologiayrityksiä että pieniä startup-yrityksiä, mikä vahvistaa ajatusta siitä, että kuka tahansa digitaalisen ekosysteemin toimija on haavoittuvainen ulkoistettaessa analytiikka- tai valvontapalveluita.

Oikeudellisesta näkökulmasta eurooppalaisille asiakkaille on olennaista, että kyseessä on rikkomus hoidosta vastaava henkilö (Mixpanel), joka käsittelee tietoja OpenAI:n puolesta. Tämä edellyttää asianomaisten organisaatioiden ja tarvittaessa tietosuojaviranomaisten ilmoittamista GDPR-asetusten mukaisesti.

Mitä tietoja on vuotanut ja mitkä tiedot ovat edelleen turvassa

Käyttäjän näkökulmasta suuri kysymys on, millaista tietoa on jätetty pois. OpenAI ja Mixpanel ovat yhtä mieltä siitä, että se on... profiilitiedot ja perustelemetria, hyödyllinen analytiikassa, mutta ei tekoälyn tai käyttöoikeustietojen kanssa tapahtuvan vuorovaikutuksen sisällön kannalta.

Välillä mahdollisesti paljastuneet tiedot Seuraavat API-tileihin liittyvät elementit löytyvät:

nimi annetaan tilin rekisteröinnin yhteydessä API:in.
Sähköpostiosoite kyseiseen tiliin liittyvä.
Likimääräinen sijainti (kaupunki, maakunta tai osavaltio ja maa), joka päätellään selaimesta ja IP-osoitteesta.
Käyttöjärjestelmä ja selain käytetään pääsyyn platform.openai.com.
Viitesivustot (viittaukset), joista API-rajapintaan on päästy.
Sisäiset käyttäjä- tai organisaatiotunnisteet linkitetty API-tiliin.

Pelkästään tämä työkalupakki ei salli kenenkään ottaa tiliä hallintaansa tai suorittaa API-kutsuja käyttäjän puolesta, mutta se tarjoaa melko kattavan profiilin siitä, kuka käyttäjä on, miten hän muodostaa yhteyden ja miten hän käyttää palvelua. Hyökkääjälle, joka on erikoistunut sosiaalinen suunnitteluTämä data voi olla kultaa, kun valmistellaan erittäin vakuuttavia sähköposteja tai viestejä.

Samaan aikaan OpenAI korostaa, että on olemassa tietolohko, joka ei ole vaarantunutYhtiön mukaan ne ovat edelleen turvassa:

Chat-keskustelut ChatGPT:n kanssa, mukaan lukien kehotteet ja vastaukset.
API-pyynnöt ja käyttölokit (luotu sisältö, tekniset parametrit jne.).
Salasanat, tunnistetiedot ja API-avaimet tileistä.
Maksutiedot, kuten korttinumeroita tai laskutustietoja.
Viralliset henkilöllisyystodistukset tai muita erityisen arkaluonteisia tietoja.

Toisin sanoen, tapaus kuuluu ns. tunnistava ja kontekstuaalinen dataMutta se ei ole koskenut tekoälyn kanssa käytyihin keskusteluihin tai avaimiin, joiden avulla kolmas osapuoli voisi toimia suoraan tileillä.

Pääasialliset riskit: tietojenkalastelu ja sosiaalinen manipulointi

Näin tietojenkalastelu toimii

Vaikka hyökkääjällä ei olisi salasanoja tai API-avaimia, niiden hallussapito nimi, sähköpostiosoite, sijainti ja sisäiset tunnisteet sallii käynnistää petoskampanjat paljon uskottavampaa. Tähän OpenAI:n ja tietoturva-asiantuntijat keskittävät ponnistelunsa.

Näiden tietojen perusteella on helppo muodostaa viesti, joka vaikuttaa oikealta: sähköpostit, jotka matkivat OpenAI:n viestintätyyliäNe mainitsevat API:n, lainaavat käyttäjää nimeltä ja jopa viittaavat hänen kaupunkiinsa tai maahansa, jotta hälytys kuulostaisi todellisemmalta. Infrastruktuuria ei tarvitse hyökätä vastaan, jos käyttäjä voidaan huijata antamaan tunnistetietonsa väärennetyllä verkkosivustolla.

Ainutlaatuinen sisältö - Napsauta tästä Mitä eroa on AVG AntiVirus Freen ja maksullisen version välillä?

Todennäköisimpiin skenaarioihin kuuluvat yritykset klassinen tietojenkalastelu (linkit väitettyihin API-hallintapaneeleihin "tilin vahvistamiseksi") ja monimutkaisemmilla sosiaalisen manipuloinnin tekniikoilla, jotka on suunnattu organisaatioiden ylläpitäjille tai IT-tiimeille yrityksissä, jotka käyttävät API:a intensiivisesti.

Euroopassa tämä kohta liittyy suoraan GDPR:n vaatimuksiin, jotka koskevat tietojen minimointiJotkut kyberturvallisuusasiantuntijat, kuten eurooppalaisessa mediassa mainittu OX Security -tiimi, huomauttavat, että tuoteanalytiikan kannalta ehdottoman tarpeettoman tiedon kerääminen – esimerkiksi sähköpostit tai yksityiskohtaiset sijaintitiedot – voi olla ristiriidassa velvollisuuden kanssa rajoittaa käsiteltävien tietojen määrää mahdollisimman paljon.

OpenAI:n vastaus: tauko Mixpanelin kanssa ja perusteellinen arvostelu

Saatuaan tekniset tiedot tapahtumasta OpenAI yritti reagoida päättäväisesti. Ensimmäinen toimenpide oli poista Mixpanel-integraatio kokonaan kaikista tuotantopalveluistaan, jotta palveluntarjoajalla ei enää ole pääsyä käyttäjien tuottamaan uuteen dataan.

Samalla yhtiö toteaa, että tarkastelee perusteellisesti kyseistä tietojoukkoa ymmärtääkseen todellisen vaikutuksen kuhunkin tiliin ja organisaatioon. Tämän analyysin perusteella he ovat alkaneet ilmoittaa erikseen järjestelmänvalvojille, yrityksille ja käyttäjille, jotka näkyvät hyökkääjän viemässä tietojoukossa.

OpenAI väittää myös aloittaneensa lisäturvatarkistuksia kaikissa järjestelmissään ja kaikkien muiden ulkoisten palveluntarjoajien kanssa kenen kanssa se työskentelee. Tavoitteena on nostaa suojausvaatimuksia, vahvistaa sopimuslausekkeita ja tarkastaa tarkemmin, miten nämä kolmannet osapuolet keräävät ja tallentavat tietoja.

Yhtiö korostaa viestinnässään, että ”luottamus, turvallisuus ja yksityisyysNämä ovat heidän tehtävänsä keskeisiä elementtejä. Retoriikan lisäksi tämä tapaus havainnollistaa, kuinka näennäisesti toissijaisen agentin tietomurto voi vaikuttaa suoraan ChatGPT:n kaltaisen massiivisen palvelun havaittuun turvallisuuteen.

Vaikutus käyttäjiin ja yrityksiin Espanjassa ja Euroopassa

Eurooppalaisessa kontekstissa, jossa GDPR ja tulevat tekoälykohtaiset säännökset He asettavat korkean riman tietosuojalle, ja tällaisia tapauksia tutkitaan tarkasti. Euroopan unionin alueella sijaitsevalle OpenAI-rajapintaa käyttävälle yritykselle analytiikkapalveluntarjoajan tekemä tietomurto ei ole mikään pieni asia.

Yhtäältä eurooppalaisten rekisterinpitäjien, jotka ovat osa API:a, on tarkastella vaikutustenarviointejaan ja toimintalokejaan tarkistaa, miten Mixpanelin kaltaisten palveluntarjoajien käyttöä kuvataan ja ovatko heidän omille käyttäjilleen annetut tiedot riittävän selkeitä.

Toisaalta yritysten sähköpostien, sijaintien ja organisaatiotunnisteiden paljastuminen avaa oven Kohdennetut hyökkäykset kehitystiimejä, IT-osastoja tai tekoälyprojektipäälliköitä vastaanTämä ei koske pelkästään yksittäisten käyttäjien mahdollisia riskejä, vaan myös yrityksiä, jotka perustavat kriittiset liiketoimintaprosessit OpenAI-malleihin.

Espanjassa tämäntyyppinen kuilu on tulossa tutkan alle. Espanjan tietosuojavirasto (AEPD) kun ne vaikuttavat maan alueelle asettuneisiin kansalaisiin tai yhteisöihin. Jos asianomaiset organisaatiot katsovat, että vuoto aiheuttaa riskin yksilöiden oikeuksille ja vapauksille, niiden on arvioitava se ja tarvittaessa ilmoitettava siitä myös toimivaltaiselle viranomaiselle.

Käytännön vinkkejä tilisi suojaamiseen

Teknisten selitysten lisäksi monet käyttäjät haluavat tietää Mitä heidän täytyy tehdä juuri nyt?OpenAI väittää, ettei salasanan vaihtaminen ole välttämätöntä, koska sitä ei ole vuotanut, mutta useimmat asiantuntijat suosittelevat ylimääräisen varovaisuuden noudattamista.

Ainutlaatuinen sisältö - Napsauta tästä Digitaalisen varmenteen salasanan palauttaminen vaihe vaiheelta

Jos käytät OpenAI-rajapintaa tai haluat vain olla varman päälle, on suositeltavaa noudattaa muutamia perusvaiheita, jotka Ne vähentävät riskiä merkittävästi että hyökkääjä saattaa hyödyntää vuotaneita tietoja:

Varo odottamattomia sähköposteja jotka väittävät olevansa OpenAI:sta tai API-palveluista, varsinkin jos niissä mainitaan termejä kuten "kiireellinen vahvistus", "tietoturvahäiriö" tai "tilin lukitus".
Tarkista aina lähettäjän osoite ja verkkotunnus, johon linkit osoittavat, ennen kuin napsautat. Jos sinulla on epäilyksiä, on parasta käyttää sitä manuaalisesti. platform.openai.com kirjoittamalla URL-osoitteen selaimeen.
Ota käyttöön monivaiheinen todennus (MFA/2FA) OpenAI-tililläsi ja muissa arkaluontoisissa palveluissa. Se on erittäin tehokas este, vaikka joku saisi salasanasi haltuunsa petoksen avulla.
Älä jaa salasanoja, API-avaimia tai vahvistuskoodeja sähköpostitse, chatin tai puhelimen kautta. OpenAI muistuttaa käyttäjiä, ettei se koskaan pyydä tämän tyyppisiä tietoja vahvistamattomien kanavien kautta.
Arvo Vaihda salasanasi Jos käytät API:a paljon tai jos käytät sitä usein muissa palveluissa, tätä on yleensä parasta välttää.

Niille, jotka toimivat yrityksissä tai hallinnoivat projekteja useiden kehittäjien kanssa, tämä voi olla hyvä aika tarkistaa sisäiset turvallisuuskäytännötAPI-käyttöoikeudet ja tapauksiin reagointimenettelyt, yhdenmukaistamalla ne kyberturvallisuustiimien suositusten kanssa.

Oppitunteja datasta, kolmansista osapuolista ja luottamuksesta tekoälyyn

Mixpanelin vuoto on ollut rajallisempi verrattuna muihin viime vuosien suuriin onnettomuuksiin, mutta se tapahtuu aikana, jolloin Generatiivisista tekoälypalveluista on tullut arkipäivää Tämä koskee sekä yksityishenkilöitä että eurooppalaisia yrityksiä. Joka kerta, kun joku rekisteröityy, integroi API:n tai lataa tietoja tällaiseen työkaluun, hän uskoo merkittävän osan digitaalisesta elämästään kolmansille osapuolille.

Yksi tämän tapauksen opetuksista on tarve minimoi ulkoisten palveluntarjoajien kanssa jaettujen henkilötietojen määräUseat asiantuntijat korostavat, että jopa laillisten ja tunnettujen yritysten kanssa työskenneltäessä jokainen tunnistettavissa oleva tieto, joka poistuu pääasiallisesta ympäristöstä, avaa uuden mahdollisen altistumispisteen.

Se korostaa myös sitä, missä määrin läpinäkyvä viestintä Tämä on avainasemassa. OpenAI on päättänyt tarjota laajaa tietoa, jopa lähettämällä sähköposteja käyttäjille, joihin tämä ei vaikuta, mikä voi aiheuttaa jonkin verran huolta, mutta jättää puolestaan vähemmän tilaa epäilyksille tiedon puutteesta.

Skenaariossa, jossa tekoälyä integroidaan edelleen hallinnollisiin menettelyihin, pankkitoimintaan, terveydenhuoltoon, koulutukseen ja etätyöhön kaikkialla Euroopassa, tällaiset tapaukset muistuttavat siitä, että Turvallisuus ei riipu pelkästään päätoimittajasta.vaan pikemminkin koko sen takana olevien yritysten verkoston. Ja että vaikka tietomurto ei koskeisikaan salasanoja tai keskusteluja, petosriski on edelleen hyvin todellinen, jos perussuojaustapoja ei omaksuta.

Kaikki ChatGPT- ja Mixpanel-tietomurron yhteydessä tapahtunut osoittaa, kuinka jo suhteellisen rajallinen vuoto voi aiheuttaa merkittäviä seurauksia: se pakottaa OpenAI:n miettimään uudelleen suhdettaan kolmansiin osapuoliin, painostaa eurooppalaisia yrityksiä ja kehittäjiä tarkastelemaan turvallisuuskäytäntöjään ja muistuttaa käyttäjiä siitä, että heidän tärkein puolustuskeinonsa hyökkäyksiä vastaan on pysyä ajan tasalla. seurata vastaanottamiaan sähköposteja ja vahvistaa tiliensä suojaa.

Alberto navarro

Olen teknologian harrastaja, joka on muuttanut "nörtti"-harrastuksensa ammatiksi. Olen käyttänyt yli 10 vuotta elämästäni uusinta teknologiaa käyttäen ja kaikenlaisten ohjelmien parissa puhtaasta uteliaisuudesta. Nyt olen erikoistunut tietotekniikkaan ja videopeleihin. Tämä johtuu siitä, että yli 5 vuoden ajan olen työskennellyt kirjoittaen useille teknologiaa ja videopelejä käsitteleville verkkosivustoille ja luonut artikkeleita, jotka pyrkivät antamaan sinulle tarvitsemaasi tietoa kielellä, jota kaikki ymmärtävät.

Jos sinulla on kysyttävää, tietoni ulottuu kaikesta Windows-käyttöjärjestelmään liittyvästä sekä matkapuhelimien Androidista. Ja sitoumukseni on sinulle, olen aina valmis käyttämään muutaman minuutin ja auttamaan sinua ratkaisemaan kaikki kysymyksesi, joita sinulla saattaa olla tässä Internet-maailmassa.