- यह उल्लंघन ओपनएआई के सिस्टम में नहीं, बल्कि बाहरी एनालिटिक्स प्रदाता मिक्सपैनल में हुआ था।
- केवल platform.openai.com पर API का उपयोग करने वाले उपयोगकर्ता ही प्रभावित हुए हैं, मुख्यतः डेवलपर्स और कंपनियां।
- पहचान और तकनीकी डेटा उजागर हो गया है, लेकिन चैट, पासवर्ड, एपीआई कुंजी या भुगतान जानकारी उजागर नहीं हुई है।
- ओपनएआई ने मिक्सपैनल के साथ संबंध तोड़ लिए हैं, अपने सभी प्रदाताओं की समीक्षा कर रहा है, तथा फ़िशिंग के विरुद्ध अतिरिक्त सावधानी बरतने की सिफारिश कर रहा है।
उपयोगकर्ता ChatGPT पिछले कुछ घंटों में उन्हें एक ऐसा ईमेल प्राप्त हुआ है जिसने कई लोगों को हैरान कर दिया है: ओपनएआई ने अपने एपीआई प्लेटफॉर्म से जुड़े डेटा उल्लंघन की रिपोर्ट कीयह चेतावनी व्यापक स्तर पर लोगों तक पहुँच चुकी है, जिनमें वे लोग भी शामिल हैं जो सीधे तौर पर प्रभावित नहीं हुए थे। कुछ भ्रम पैदा हुआ घटना के वास्तविक दायरे के बारे में।
कंपनी ने पुष्टि की है कि कुछ ग्राहकों की जानकारी तक अनधिकृत पहुँचलेकिन समस्या ओपनएआई के सर्वरों के साथ नहीं है, बल्कि... Mixpanel, एक तृतीय-पक्ष वेब एनालिटिक्स प्रदाता जो API इंटरफ़ेस उपयोग मेट्रिक्स एकत्र करता है platform.openai.comफिर भी, यह मामला इस मुद्दे को पुनः सामने लाता है। कृत्रिम बुद्धिमत्ता सेवाओं में व्यक्तिगत डेटा का प्रबंधन कैसे किया जाता है, इस पर बहस, यूरोप में भी और की छत्रछाया में RGPD.
मिक्सपैनल में बग है, ओपनएआई के सिस्टम में नहीं
जैसा कि ओपनएआई ने अपने बयान में विस्तार से बताया है, घटना की शुरुआत हुई नवम्बर 9जब मिक्सपैनल को पता चला कि किसी हमलावर ने पहुँच प्राप्त कर ली है इसके बुनियादी ढांचे के एक हिस्से तक अनधिकृत पहुंच और विश्लेषण के लिए इस्तेमाल किए गए डेटासेट को निर्यात कर दिया था। उन हफ़्तों के दौरान, विक्रेता ने यह पता लगाने के लिए एक आंतरिक जाँच की कि कौन सी जानकारी लीक हुई है।
एक बार मिक्सपैनल में अधिक स्पष्टता आ गई, 25 नवंबर को ओपनएआई को औपचारिक रूप से सूचित किया गयाप्रभावित डेटासेट भेजना ताकि कंपनी अपने ग्राहकों पर पड़ने वाले प्रभाव का आकलन कर सके। तभी ओपनएआई ने डेटा का क्रॉस-रेफरेंसिंग शुरू कियासंभावित रूप से शामिल खातों की पहचान करना और ईमेल सूचनाएं तैयार करना जो इन दिनों दुनिया भर के हजारों उपयोगकर्ताओं तक पहुंच रही हैं।
ओपनएआई का कहना है कि उनके सर्वर, एप्लिकेशन या डेटाबेस में कोई घुसपैठ नहीं हुई हैहमलावर को चैटजीपीटी या कंपनी के आंतरिक सिस्टम तक पहुँच नहीं मिली, बल्कि एक प्रदाता के वातावरण तक पहुँच मिली जो एनालिटिक्स डेटा एकत्र कर रहा था। फिर भी, अंतिम उपयोगकर्ता के लिए, व्यावहारिक परिणाम वही है: उनका कुछ डेटा वहाँ पहुँच गया है जहाँ उसे नहीं पहुँचना चाहिए था।
इस प्रकार के परिदृश्य साइबर सुरक्षा में हमले के रूप में जाने जाते हैं। डिजिटल आपूर्ति श्रृंखलाबड़े प्लेटफॉर्म पर सीधे हमला करने के बजाय, अपराधी तीसरे पक्ष को निशाना बनाते हैं जो उस प्लेटफॉर्म से डेटा संभालता है और अक्सर उसके पास कम कड़े सुरक्षा नियंत्रण होते हैं।
वास्तव में कौन से उपयोगकर्ता प्रभावित हुए हैं
सबसे ज़्यादा संदेह पैदा करने वाले बिंदुओं में से एक यह है कि असल में किसे चिंतित होना चाहिए। इस मुद्दे पर, ओपनएआई बिल्कुल स्पष्ट रहा है: यह अंतर केवल उन लोगों को प्रभावित करता है जो OpenAI API का उपयोग करते हैं वेब के माध्यम से platform.openai.comअर्थात्, मुख्यतः डेवलपर्स, कंपनियों और संगठनों जो कंपनी के मॉडलों को अपने अनुप्रयोगों और सेवाओं में एकीकृत करते हैं।
वे उपयोगकर्ता जो ब्राउज़र या ऐप में कभी-कभार प्रश्नों या व्यक्तिगत कार्यों के लिए केवल ChatGPT के नियमित संस्करण का उपयोग करते हैं, वे सीधे तौर पर प्रभावित नहीं होते जैसा कि कंपनी अपने सभी बयानों में दोहराती है, इस घटना के कारण। फिर भी, पारदर्शिता बनाए रखने के लिए, ओपनएआई ने सूचनात्मक ईमेल को बहुत व्यापक रूप से भेजने का विकल्प चुना, जिससे कई ऐसे लोग चिंतित हो गए जो इसमें शामिल नहीं हैं।
एपीआई के मामले में, यह सामान्य है कि इसके पीछे व्यावसायिक परियोजनाएँ, कॉर्पोरेट एकीकरण, या वाणिज्यिक उत्पादयह यूरोपीय कंपनियों पर भी लागू होता है। उपलब्ध कराई गई जानकारी के अनुसार, इस प्रदाता का उपयोग करने वाले संगठनों में बड़ी तकनीकी कंपनियाँ और छोटे स्टार्टअप दोनों शामिल हैं, जिससे यह धारणा पुष्ट होती है कि डिजिटल पारिस्थितिकी तंत्र में कोई भी खिलाड़ी एनालिटिक्स या निगरानी सेवाओं को आउटसोर्स करते समय असुरक्षित है।
कानूनी दृष्टिकोण से, यूरोपीय ग्राहकों के लिए यह प्रासंगिक है कि यह एक उल्लंघन है उपचार के प्रभारी व्यक्ति (मिक्सपैनल) जो ओपनएआई की ओर से डेटा का प्रबंधन करता है। इसके लिए प्रभावित संगठनों और, जहाँ उपयुक्त हो, डेटा सुरक्षा अधिकारियों को GDPR नियमों के अनुसार सूचित करना आवश्यक है।
कौन सा डेटा लीक हुआ है और कौन सा डेटा सुरक्षित है
उपयोगकर्ता के नज़रिए से, बड़ा सवाल यह है कि किस तरह की जानकारी छूट गई है। ओपनएआई और मिक्सपैनल इस बात पर सहमत हैं कि... प्रोफ़ाइल डेटा और बुनियादी टेलीमेट्री, विश्लेषण के लिए उपयोगी है, लेकिन एआई या एक्सेस क्रेडेंशियल्स के साथ बातचीत की सामग्री के लिए नहीं।
के बीच में संभावित रूप से उजागर डेटा API खातों से संबंधित निम्नलिखित तत्व पाए जाते हैं:
- नाम एपीआई में खाता पंजीकृत करते समय प्रदान किया गया।
- ईमेल पता उस खाते से संबद्ध.
- अनुमानित स्थान (शहर, प्रांत या राज्य, और देश), ब्राउज़र और आईपी पते से अनुमान लगाया गया।
- ऑपरेटिंग सिस्टम और ब्राउज़र उपयोग करने के लिए उपयोग किया जाता है
platform.openai.com. - संदर्भ वेबसाइटें (रेफरर्स) जिनसे API इंटरफ़ेस तक पहुंचा गया था।
- आंतरिक उपयोगकर्ता या संगठन पहचानकर्ता API खाते से लिंक किया गया है।
अकेले इन उपकरणों का सेट किसी को भी खाते पर नियंत्रण करने या उपयोगकर्ता की ओर से API कॉल करने की अनुमति नहीं देता, लेकिन यह उपयोगकर्ता कौन है, वे कैसे कनेक्ट होते हैं और सेवा का उपयोग कैसे करते हैं, इसकी पूरी जानकारी प्रदान करता है। विशेषज्ञता वाले किसी हमलावर के लिए सामाजिक इंजीनियरिंगअत्यंत विश्वसनीय ईमेल या संदेश तैयार करते समय यह डेटा शुद्ध सोने जैसा साबित हो सकता है।
साथ ही, ओपनएआई इस बात पर जोर देता है कि सूचना का एक ऐसा खंड है जो समझौता नहीं किया गया हैकंपनी के अनुसार, वे सुरक्षित हैं:
- चैट वार्तालाप चैटजीपीटी के साथ, संकेत और प्रतिक्रियाएं शामिल हैं।
- API अनुरोध और उपयोग लॉग (उत्पन्न सामग्री, तकनीकी पैरामीटर, आदि).
- पासवर्ड, क्रेडेंशियल और API कुंजियाँ खातों का।
- भुगतान की जानकारीजैसे कार्ड नंबर या बिलिंग जानकारी।
- आधिकारिक पहचान दस्तावेज़ या अन्य विशेष रूप से संवेदनशील जानकारी।
दूसरे शब्दों में, यह घटना निम्नलिखित के दायरे में आती है: पहचान और प्रासंगिक डेटालेकिन इसमें न तो एआई के साथ बातचीत को छुआ गया है और न ही उन कुंजियों को छुआ गया है जो किसी तीसरे पक्ष को खातों पर सीधे संचालन करने की अनुमति देती हैं।
मुख्य जोखिम: फ़िशिंग और सोशल इंजीनियरिंग
भले ही हमलावर के पास पासवर्ड या API कुंजियाँ न हों, फिर भी उन्हें रखना नाम, ईमेल पता, स्थान और आंतरिक पहचानकर्ता लॉन्च करने की अनुमति देता है धोखाधड़ी अभियान ज़्यादा विश्वसनीय। ओपनएआई और सुरक्षा विशेषज्ञ इसी पर अपना ध्यान केंद्रित कर रहे हैं।
इस जानकारी के आधार पर, एक ऐसा संदेश तैयार करना आसान है जो वैध प्रतीत होता है: ओपनएआई की संचार शैली की नकल करने वाले ईमेलवे एपीआई का ज़िक्र करते हैं, उपयोगकर्ता का नाम बताते हैं, और अलर्ट को ज़्यादा वास्तविक बनाने के लिए उनके शहर या देश का भी ज़िक्र करते हैं। अगर आप उपयोगकर्ता को किसी फ़र्ज़ी वेबसाइट पर अपनी जानकारी देने के लिए उकसा सकते हैं, तो बुनियादी ढाँचे पर हमला करने की कोई ज़रूरत नहीं है।
सबसे संभावित परिदृश्यों में प्रयास शामिल हैं क्लासिक फ़िशिंग (कथित API प्रबंधन पैनल के लिंक "खाते को सत्यापित करने के लिए") और अधिक विस्तृत सामाजिक इंजीनियरिंग तकनीकों द्वारा, उन संगठनों या कंपनियों में आईटी टीमों के प्रशासकों को लक्षित किया जाता है जो API का गहन रूप से उपयोग करते हैं।
यूरोप में, यह बिंदु सीधे GDPR आवश्यकताओं से जुड़ा हुआ है डेटा न्यूनीकरणकुछ साइबर सुरक्षा विशेषज्ञ, जैसे कि यूरोपीय मीडिया में उद्धृत ओएक्स सुरक्षा टीम, बताते हैं कि उत्पाद विश्लेषण के लिए आवश्यक से अधिक जानकारी एकत्र करना - उदाहरण के लिए, ईमेल या विस्तृत स्थान डेटा - जितना संभव हो सके संसाधित डेटा की मात्रा को सीमित करने के दायित्व के साथ टकराव हो सकता है।
ओपनएआई की प्रतिक्रिया: मिक्सपैनल से विराम और विस्तृत समीक्षा
ओपनएआई को घटना की तकनीकी जानकारी मिलते ही, उसने निर्णायक प्रतिक्रिया देने की कोशिश की। पहला कदम था मिक्सपैनल एकीकरण को पूरी तरह से हटा दें इसकी सभी उत्पादन सेवाओं को बंद कर दिया जाएगा, जिससे प्रदाता के पास उपयोगकर्ताओं द्वारा उत्पन्न नए डेटा तक पहुंच नहीं होगी।
साथ ही, कंपनी का कहना है कि प्रभावित डेटासेट की गहन समीक्षा की जा रही है प्रत्येक खाते और संगठन पर वास्तविक प्रभाव को समझने के लिए। उस विश्लेषण के आधार पर, उन्होंने व्यक्तिगत रूप से सूचित करें हमलावर द्वारा निर्यात किए गए डेटासेट में दिखाई देने वाले प्रशासकों, कंपनियों और उपयोगकर्ताओं को।
ओपनएआई का यह भी दावा है कि उसने अपने सभी सिस्टमों और अन्य सभी बाहरी प्रदाताओं के साथ अतिरिक्त सुरक्षा जांच यह किसके साथ काम करता है। इसका लक्ष्य सुरक्षा आवश्यकताओं को बढ़ाना, अनुबंध संबंधी प्रावधानों को मज़बूत करना, और इन तृतीय पक्षों द्वारा जानकारी एकत्र करने और संग्रहीत करने के तरीके का और भी सख़्ती से ऑडिट करना है।
कंपनी अपने संचार में इस बात पर जोर देती है कि “विश्वास, सुरक्षा और गोपनीयताये इसके मिशन के केंद्रीय तत्व हैं। बयानबाज़ी से परे, यह मामला दर्शाता है कि कैसे एक गौण एजेंट में सेंध का चैटजीपीटी जैसी विशाल सेवा की कथित सुरक्षा पर सीधा असर पड़ सकता है।
स्पेन और यूरोप में उपयोगकर्ताओं और व्यवसायों पर प्रभाव
यूरोपीय संदर्भ में, जहां GDPR और भविष्य के AI-विशिष्ट विनियम वे डेटा सुरक्षा के लिए उच्च मानक निर्धारित करते हैं, और इस तरह की घटनाओं की गहन जाँच की जाती है। यूरोपीय संघ के भीतर ओपनएआई एपीआई का उपयोग करने वाली किसी भी कंपनी के लिए, किसी एनालिटिक्स प्रदाता द्वारा डेटा उल्लंघन कोई छोटी बात नहीं है।
एक ओर, यूरोपीय डेटा नियंत्रक जो एपीआई का हिस्सा हैं, उन्हें उनके प्रभाव आकलन और गतिविधि लॉग की समीक्षा करें यह जांचने के लिए कि मिक्सपैनल जैसे प्रदाताओं के उपयोग का वर्णन कैसे किया जाता है और क्या उनके अपने उपयोगकर्ताओं को प्रदान की गई जानकारी पर्याप्त रूप से स्पष्ट है।
दूसरी ओर, कॉर्पोरेट ईमेल, स्थान और संगठनात्मक पहचानकर्ताओं के उजागर होने से धोखाधड़ी के द्वार खुल जाते हैं। विकास टीमों, आईटी विभागों या एआई परियोजना प्रबंधकों के विरुद्ध लक्षित हमलेयह केवल व्यक्तिगत उपयोगकर्ताओं के लिए संभावित जोखिमों के बारे में नहीं है, बल्कि उन कंपनियों के लिए भी है जो महत्वपूर्ण व्यावसायिक प्रक्रियाओं को ओपनएआई मॉडल पर आधारित करती हैं।
स्पेन में, इस प्रकार का अंतर रडार पर आ रहा है स्पैनिश डेटा संरक्षण एजेंसी (एईपीडी) जब वे राष्ट्रीय क्षेत्र में निवासी नागरिकों या स्थापित संस्थाओं को प्रभावित करते हैं। यदि प्रभावित संगठनों का मानना है कि लीक से व्यक्तियों के अधिकारों और स्वतंत्रता को खतरा है, तो वे इसका आकलन करने और, जहाँ उपयुक्त हो, सक्षम प्राधिकारी को सूचित करने के लिए बाध्य हैं।
अपने खाते की सुरक्षा के लिए व्यावहारिक सुझाव
तकनीकी स्पष्टीकरण से परे, कई उपयोगकर्ता यह जानना चाहते हैं अभी उन्हें क्या करना है?ओपनएआई का कहना है कि पासवर्ड बदलना आवश्यक नहीं है, क्योंकि यह लीक नहीं हुआ है, लेकिन अधिकांश विशेषज्ञ अतिरिक्त सावधानी बरतने की सलाह देते हैं।
यदि आप OpenAI API का उपयोग करते हैं, या सुरक्षित रहना चाहते हैं, तो कुछ बुनियादी चरणों का पालन करना उचित है। वे जोखिम को काफी हद तक कम कर देते हैं कोई हमलावर लीक हुए डेटा का फायदा उठा सकता है:
- अप्रत्याशित ईमेल से सावधान रहें जो ओपनएआई या एपीआई-संबंधित सेवाओं से होने का दावा करते हैं, खासकर यदि वे "तत्काल सत्यापन", "सुरक्षा घटना" या "खाता लॉकआउट" जैसे शब्दों का उल्लेख करते हैं।
- हमेशा प्रेषक का पता जांचें और क्लिक करने से पहले लिंक जिस डोमेन की ओर इशारा कर रहे हैं, उसे भी देखें। अगर आपको कोई संदेह है, तो इसे मैन्युअल रूप से एक्सेस करना सबसे अच्छा है।
platform.openai.comब्राउज़र में URL टाइप करें. - बहु-कारक प्रमाणीकरण (MFA/2FA) सक्षम करें आपके OpenAI खाते और किसी भी अन्य संवेदनशील सेवा पर। यह एक बहुत ही प्रभावी अवरोधक है, भले ही कोई धोखे से आपका पासवर्ड प्राप्त कर ले।
- पासवर्ड, API कुंजियाँ या सत्यापन कोड साझा न करें ईमेल, चैट या फ़ोन के ज़रिए। ओपनएआई उपयोगकर्ताओं को याद दिलाता है कि वह इस प्रकार के डेटा का अनुरोध कभी भी असत्यापित माध्यमों से नहीं करेगा।
- वलोरा अपना पासवर्ड बदलें यदि आप API के भारी उपयोगकर्ता हैं या यदि आप इसे अन्य सेवाओं में पुनः उपयोग करते हैं, तो इससे बचना ही बेहतर है।
जो लोग कंपनियों से काम करते हैं या कई डेवलपर्स के साथ परियोजनाओं का प्रबंधन करते हैं, उनके लिए यह एक अच्छा समय हो सकता है आंतरिक सुरक्षा नीतियों की समीक्षा करेंएपीआई एक्सेस अनुमतियां और घटना प्रतिक्रिया प्रक्रियाएं, उन्हें साइबर सुरक्षा टीमों की सिफारिशों के साथ संरेखित करना।
डेटा, तृतीय पक्षों और AI में विश्वास पर पाठ
मिक्सपैनल लीक हाल के वर्षों में अन्य प्रमुख घटनाओं की तुलना में सीमित है, लेकिन यह ऐसे समय में हुआ है जब जनरेटिव एआई सेवाएँ आम हो गई हैं यह व्यक्तियों और यूरोपीय कंपनियों, दोनों पर लागू होता है। हर बार जब कोई व्यक्ति पंजीकरण करता है, किसी एपीआई को एकीकृत करता है, या ऐसे टूल पर जानकारी अपलोड करता है, तो वह अपने डिजिटल जीवन का एक बड़ा हिस्सा तीसरे पक्ष के हाथों में सौंप देता है।
इस मामले से जो सबक मिलता है, वह यह है कि बाहरी प्रदाताओं के साथ साझा किए जाने वाले व्यक्तिगत डेटा को न्यूनतम करेंकई विशेषज्ञ इस बात पर जोर देते हैं कि वैध और प्रसिद्ध कंपनियों के साथ काम करते समय भी, मुख्य वातावरण से बाहर जाने वाला प्रत्येक पहचान योग्य डेटा, जोखिम का एक नया संभावित बिंदु खोल देता है।
यह इस बात पर भी प्रकाश डालता है कि पारदर्शी संचार यह महत्वपूर्ण है। ओपनएआई ने व्यापक जानकारी प्रदान करने का विकल्प चुना है, यहाँ तक कि अप्रभावित उपयोगकर्ताओं को ईमेल भी भेजे हैं, जिससे कुछ चिंताएँ तो हो सकती हैं, लेकिन बदले में, जानकारी की कमी के संदेह की गुंजाइश कम हो जाती है।
ऐसे परिदृश्य में जहां एआई को पूरे यूरोप में प्रशासनिक प्रक्रियाओं, बैंकिंग, स्वास्थ्य, शिक्षा और दूरस्थ कार्य में एकीकृत किया जाना जारी रहेगा, इस तरह की घटनाएं हमें याद दिलाती हैं कि सुरक्षा केवल मुख्य प्रदाता पर निर्भर नहीं करती।बल्कि इसके पीछे मौजूद कंपनियों के पूरे नेटवर्क की। और यह कि, भले ही डेटा उल्लंघन में पासवर्ड या बातचीत शामिल न हो, अगर बुनियादी सुरक्षा आदतें नहीं अपनाई गईं, तो धोखाधड़ी का जोखिम बहुत वास्तविक बना रहता है।
चैटजीपीटी और मिक्सपैनल उल्लंघन के साथ जो कुछ भी हुआ, उससे पता चलता है कि कैसे एक अपेक्षाकृत सीमित लीक के भी महत्वपूर्ण परिणाम हो सकते हैं: यह ओपनएआई को तीसरे पक्ष के साथ अपने संबंधों पर पुनर्विचार करने के लिए मजबूर करता है, यूरोपीय कंपनियों और डेवलपर्स को अपनी सुरक्षा प्रथाओं की समीक्षा करने के लिए प्रेरित करता है, और उपयोगकर्ताओं को याद दिलाता है कि हमलों के खिलाफ उनका मुख्य बचाव सूचित रहना है। उन्हें प्राप्त होने वाले ईमेल की निगरानी करें और उनके खातों की सुरक्षा को मजबूत करें.
मैं एक प्रौद्योगिकी उत्साही हूं जिसने अपनी "गीक" रुचियों को एक पेशे में बदल दिया है। मैंने अपने जीवन के 10 से अधिक वर्ष अत्याधुनिक तकनीक का उपयोग करने और शुद्ध जिज्ञासा से सभी प्रकार के कार्यक्रमों के साथ छेड़छाड़ करने में बिताए हैं। अब मैंने कंप्यूटर प्रौद्योगिकी और वीडियो गेम में विशेषज्ञता हासिल कर ली है। ऐसा इसलिए है क्योंकि 5 वर्षों से अधिक समय से मैं प्रौद्योगिकी और वीडियो गेम पर विभिन्न वेबसाइटों के लिए लिख रहा हूं, ऐसे लेख बना रहा हूं जो आपको ऐसी भाषा में आवश्यक जानकारी देने का प्रयास करते हैं जो हर किसी के लिए समझ में आती है।
यदि आपके कोई प्रश्न हैं, तो मेरी जानकारी विंडोज ऑपरेटिंग सिस्टम के साथ-साथ मोबाइल फोन के लिए एंड्रॉइड से संबंधित हर चीज तक है। और मेरी प्रतिबद्धता आपके प्रति है, मैं हमेशा कुछ मिनट बिताने और इस इंटरनेट की दुनिया में आपके किसी भी प्रश्न को हल करने में आपकी मदद करने को तैयार हूं।