Kršenje podataka ChatGPT-a: što se dogodilo s Mixpanelom i kako to utječe na vas

Korisnici ChatGPT U posljednjih nekoliko sati primili su e-poruku koja je iznenadila više od jedne obrve: OpenAI prijavljuje kršenje podataka povezano s njegovom API platformomUpozorenje je dosegnulo ogromnu publiku, uključujući ljude koji nisu bili izravno pogođeni, što je izazvao određenu zbrku o stvarnom opsegu incidenta.

Ono što je tvrtka potvrdila jest da je došlo do neovlašteni pristup nekim podacima korisnikaAli problem nije bio s OpenAI-jevim serverima, već s... Mixpanel, pružatelj web analitike treće strane koji je prikupljao metrike korištenja API sučelja u platform.openai.comUnatoč tome, slučaj ponovno vraća problem u prvi plan. rasprava o tome kako se osobni podaci upravljaju u uslugama umjetne inteligencije, također u Europi i pod okriljem RGPD.

Greška u Mixpanelu, a ne u OpenAI sustavima

Kako je OpenAI detaljno opisao u svojoj izjavi, incident se dogodio Studenoga 9kada je Mixpanel otkrio da je napadač dobio pristup neovlašteni pristup dijelu njegove infrastrukture i izvezao je skup podataka korišten za analizu. Tijekom tih tjedana, dobavljač je proveo internu istragu kako bi utvrdio koje su informacije bile kompromitirane.

Nakon što je Mixpanel dobio više jasnoće, formalno obaviješten OpenAI 25. studenogslanje pogođenog skupa podataka kako bi tvrtka mogla procijeniti utjecaj na vlastite kupce. Tek tada je OpenAI počeo uspoređivati ​​podatke, identificirati potencijalno uključene račune i pripremiti obavijesti e-poštom koje ovih dana stižu tisućama korisnika diljem svijeta.

OpenAI inzistira na tome Nije bilo upada u njihove servere, aplikacije ili baze podatakaNapadač nije dobio pristup ChatGPT-u ili internim sustavima tvrtke, već okruženju pružatelja usluga koji je prikupljao analitičke podatke. Unatoč tome, za krajnjeg korisnika praktična posljedica je ista: neki od njihovih podataka završili su tamo gdje nisu trebali.

Ove vrste scenarija spadaju u ono što je u kibernetičkoj sigurnosti poznato kao napad na digitalni lanac opskrbeUmjesto izravnog napada na glavnu platformu, kriminalci ciljaju treću stranu koja obrađuje podatke s te platforme i često ima manje stroge sigurnosne kontrole.

Povezani članak:

Koje podatke prikupljaju AI asistenti i kako zaštititi vašu privatnost

Koji su korisnici zapravo pogođeni

Jedna od točaka koja izaziva najviše sumnje je tko bi se zapravo trebao brinuti. Po tom pitanju, OpenAI je bio prilično jasan: Razlika utječe samo na one koji koriste OpenAI API putem weba platform.openai.comTo jest, uglavnom programeri, tvrtke i organizacije koje integriraju modele tvrtke u vlastite aplikacije i usluge.

Korisnici koji koriste samo redovnu verziju ChatGPT-a u pregledniku ili aplikaciji, za povremene upite ili osobne zadatke, Ne bi bili izravno pogođeni zbog incidenta, što tvrtka ponavlja u svim svojim izjavama. Unatoč tome, radi transparentnosti, OpenAI je odlučio poslati informativni e-mail vrlo široko, što je pridonijelo uznemiravanju mnogih ljudi koji nisu uključeni.

U slučaju API-ja, uobičajeno je da iza njega stoji profesionalni projekti, korporativne integracije ili komercijalni proizvodiTo se odnosi i na europske tvrtke. Prema pruženim informacijama, organizacije koje koriste ovog pružatelja usluga uključuju i velike tehnološke tvrtke i male startupove, što pojačava ideju da je svaki igrač u digitalnom ekosustavu ranjiv prilikom outsourcinga analitičkih ili nadzornih usluga.

S pravnog gledišta, relevantno je za europske kupce da se radi o kršenju osoba zadužena za liječenje (Mixpanel) koji obrađuje podatke u ime OpenAI-a. To zahtijeva obavještavanje pogođenih organizacija i, gdje je to primjereno, tijela za zaštitu podataka, u skladu s GDPR propisima.

Koji su podaci procurili, a koji su i dalje sigurni

Iz perspektive korisnika, veliko je pitanje koje su informacije izostavljene. OpenAI i Mixpanel slažu se da je to... podaci profila i osnovna telemetrija, korisno za analitiku, ali ne i za sadržaj interakcija s umjetnom inteligencijom ili pristupnim vjerodajnicama.

Između potencijalno izloženi podaci Pronađeni su sljedeći elementi povezani s API računima:

• ime navedeno prilikom registracije računa u API-ju.
• Email adresa povezan s tim računom.
• Približna lokacija (grad, pokrajina ili država i zemlja), izvedeno iz preglednika i IP adrese.
• Operativni sustav i preglednik koristi se za pristup platform.openai.com.
• Referentne web stranice (referreri) s kojih je postignuto API sučelje.
• Interni identifikatori korisnika ili organizacije povezan s API računom.

Ovaj skup alata sam po sebi ne dopušta nikome da preuzme kontrolu nad računom ili izvršava API pozive u ime korisnika, ali pruža prilično potpun profil tko je korisnik, kako se povezuje i kako koristi uslugu. Za napadača specijaliziranog za socijalni inženjeringOvi podaci mogu biti čisto zlato pri pripremi izuzetno uvjerljivih e-poruka ili poruka.

Istovremeno, OpenAI naglašava da postoji blok informacija koji nije bio kompromitiranPrema tvrtki, oni ostaju sigurni:

• Razgovori u chatu s ChatGPT-om, uključujući upite i odgovore.
• API zahtjevi i zapisnici korištenja (generirani sadržaj, tehnički parametri itd.).
• Lozinke, vjerodajnice i API ključevi računa.
• Informacije o plaćanju, kao što su brojevi kartica ili podaci o naplati.
• Službeni identifikacijski dokumenti ili druge posebno osjetljive informacije.

Drugim riječima, incident spada u opseg identifikacijski i kontekstualni podaciAli nije se dotaklo ni razgovora s umjetnom inteligencijom ni ključeva koji bi omogućili trećoj strani da izravno upravlja računima.

Glavni rizici: phishing i društveni inženjering

Čak i ako napadač nema lozinke ili API ključeve, njihovo posjedovanje ime, adresa e-pošte, lokacija i interni identifikatori omogućuje pokretanje kampanje prijevare puno vjerodostojnije. Tu stručnjaci za OpenAI i sigurnost usmjeravaju svoje napore.

S tim informacijama na stolu, lako je konstruirati poruku koja se čini legitimnom: e-poruke koje oponašaju komunikacijski stil OpenAI-aSpominju API, navode korisnika po imenu, pa čak i aludiraju na njegov grad ili državu kako bi upozorenje zvučalo stvarnije. Nema potrebe napadati infrastrukturu ako možete prevariti korisnika da preda svoje vjerodajnice na lažnoj web stranici.

Najvjerojatniji scenariji uključuju pokušaje da se klasični phishing (poveznice na navodne API upravljačke ploče za „provjeru računa“) i složenijim tehnikama društvenog inženjeringa usmjerenim na administratore organizacija ili IT timove u tvrtkama koje intenzivno koriste API.

U Europi je ova točka izravno povezana sa zahtjevima GDPR-a o minimizacija podatakaNeki stručnjaci za kibernetičku sigurnost, poput tima OX Security citiranog u europskim medijima, ističu da prikupljanje više informacija nego što je strogo potrebno za analitiku proizvoda - na primjer, e-pošte ili detaljnih podataka o lokaciji - može biti u sukobu s obvezom što većeg ograničavanja količine obrađenih podataka.

OpenAI-jev odgovor: prekid s Mixpanelom i temeljit pregled

Nakon što je OpenAI primio tehničke detalje incidenta, pokušao je odlučno reagirati. Prva mjera bila je potpuno uklonite integraciju Mixpanela svih svojih produkcijskih usluga, tako da pružatelj usluga više nema pristup novim podacima koje generiraju korisnici.

Istovremeno, tvrtka navodi da temeljito pregledava pogođeni skup podataka kako bi razumjeli stvarni utjecaj na svaki račun i organizaciju. Na temelju te analize počeli su obavijestiti pojedinačno administratorima, tvrtkama i korisnicima koji se pojavljuju u skupu podataka koji je napadač izvezao.

OpenAI također tvrdi da je započeo dodatne sigurnosne provjere na svim njihovim sustavima i kod svih ostalih vanjskih pružatelja usluga s kojima surađuje. Cilj je povećati zahtjeve zaštite, ojačati ugovorne klauzule i rigoroznije provjeravati kako te treće strane prikupljaju i pohranjuju informacije.

Tvrtka u svojim komunikacijama naglašava da „povjerenje, sigurnost i privatnostTo su središnji elementi njegove misije. Osim retorike, ovaj slučaj ilustrira kako proboj u naizgled sekundarnom agentu može imati izravan utjecaj na percipiranu sigurnost usluge tako velike kao što je ChatGPT.

Utjecaj na korisnike i tvrtke u Španjolskoj i Europi

U europskom kontekstu, gdje je GDPR i budući propisi specifični za umjetnu inteligenciju Postavili su visoke standarde za zaštitu podataka, a incidenti poput ovog se pomno prate. Za svaku tvrtku koja koristi OpenAI API unutar Europske unije, povreda podataka od strane pružatelja analitike nije mala stvar.

S jedne strane, europski kontrolori podataka koji su dio API-ja morat će pregledaju svoje procjene utjecaja i zapisnike aktivnosti provjeriti kako je opisano korištenje pružatelja usluga poput Mixpanela i jesu li informacije koje se pružaju njihovim korisnicima dovoljno jasne.

S druge strane, otkrivanje korporativnih e-mailova, lokacija i organizacijskih identifikatora otvara vrata Ciljani napadi na razvojne timove, IT odjele ili voditelje AI projekataOvdje se ne radi samo o potencijalnim rizicima za pojedinačne korisnike, već i za tvrtke koje temelje ključne poslovne procese na OpenAI modelima.

U Španjolskoj, ova vrsta jaza dolazi na radar Španjolska agencija za zaštitu podataka (AEPD) kada utječu na građane ili subjekte s prebivalištem na nacionalnom teritoriju. Ako pogođene organizacije smatraju da curenje predstavlja rizik za prava i slobode pojedinaca, dužne su ga procijeniti i, gdje je to primjereno, obavijestiti i nadležno tijelo.

Praktični savjeti za zaštitu vašeg računa

Osim tehničkih objašnjenja, ono što mnogi korisnici žele znati je Što oni moraju učiniti upravo sada?OpenAI inzistira na tome da promjena lozinke nije nužna jer nije procurila, ali većina stručnjaka preporučuje primjenu dodatnog sloja opreza.

Ako koristite OpenAI API ili jednostavno želite biti sigurni, preporučljivo je slijediti niz osnovnih koraka koji Oni drastično smanjuju rizik da bi napadač mogao iskoristiti procurele podatke:

• Budite oprezni s neočekivanim e-porukama koji tvrde da potječu iz OpenAI-a ili usluga povezanih s API-jem, posebno ako spominju pojmove poput "hitne provjere", "sigurnosnog incidenta" ili "zaključavanja računa".
• Uvijek provjerite adresu pošiljatelja i domenu na koju poveznice upućuju prije klika. Ako imate bilo kakvih nedoumica, najbolje je pristupiti joj ručno. platform.openai.com upisivanjem URL-a u preglednik.
• Omogući višefaktorsku autentifikaciju (MFA/2FA) na vašem OpenAI računu i bilo kojoj drugoj osjetljivoj usluzi. To je vrlo učinkovita prepreka čak i ako netko prijevarom dobije vašu lozinku.
• Ne dijelite lozinke, API ključeve ili verifikacijske kodove putem e-pošte, chata ili telefona. OpenAI podsjeća korisnike da nikada neće tražiti ovu vrstu podataka putem neprovjerenih kanala.
• Vrijednost promjeni lozinku Ako ste intenzivni korisnik API-ja ili ako ga skloni ponovno koristiti u drugim uslugama, nešto što je općenito najbolje izbjegavati.

Za one koji rade iz tvrtki ili upravljaju projektima s više programera, ovo bi moglo biti dobro vrijeme za pregledajte interne sigurnosne politikeDozvole za pristup API-ju i postupci odgovora na incidente, usklađujući ih s preporukama timova za kibernetičku sigurnost.

Lekcije o podacima, trećim stranama i povjerenju u umjetnu inteligenciju

Curenje informacija s Mixpanela bilo je ograničeno u usporedbi s drugim većim incidentima posljednjih godina, ali dolazi u vrijeme kada je Usluge generativne umjetne inteligencije postale su uobičajene To se odnosi i na pojedince i na europske tvrtke. Svaki put kada netko registrira, integrira API ili prenese informacije u takav alat, značajan dio svog digitalnog života stavlja u ruke trećih strana.

Jedna od lekcija koju ovaj slučaj uči je potreba da se minimizirati dijeljenje osobnih podataka s vanjskim pružateljima uslugaNekoliko stručnjaka naglašava da, čak i pri radu s legitimnim i poznatim tvrtkama, svaki prepoznatljivi podatak koji napušta glavno okruženje otvara novu potencijalnu točku izloženosti.

Također ističe u kojoj mjeri transparentna komunikacija Ovo je ključno. OpenAI je odlučio pružiti široke informacije, čak i slati e-poruke korisnicima koji nisu pogođeni, što može izazvati određenu uzbunu, ali zauzvrat ostavlja manje prostora za sumnju u nedostatak informacija.

U scenariju u kojem će se umjetna inteligencija i dalje integrirati u administrativne postupke, bankarstvo, zdravstvo, obrazovanje i rad na daljinu diljem Europe, incidenti poput ovog služe kao podsjetnik da Sigurnost ne ovisi isključivo o glavnom pružatelju usluga.već cijele mreže tvrtki koje stoje iza toga. I da, čak i ako povreda podataka ne uključuje lozinke ili razgovore, rizik od prijevare ostaje vrlo stvaran ako se ne usvoje osnovne zaštitne navike.

Sve što se dogodilo s probojem ChatGPT-a i Mixpanela pokazuje kako čak i relativno ograničeno curenje podataka može imati značajne posljedice: prisiljava OpenAI da preispita svoj odnos s trećim stranama, potiče europske tvrtke i developere da preispitaju svoje sigurnosne prakse i podsjeća korisnike da je njihova glavna obrana od napada i dalje informiranost. pratiti e-poruke koje primaju i pojačati zaštitu njihovih računa.

Alberto navarro

Ja sam tehnološki entuzijast koji je svoje "geek" interese pretvorio u profesiju. Proveo sam više od 10 godina svog života koristeći vrhunsku tehnologiju i petljajući sa svim vrstama programa iz čiste znatiželje. Sada sam se specijalizirao za računalne tehnologije i video igre. To je zato što sam više od 5 godina pisao za razne web stranice o tehnologiji i videoigrama, stvarajući članke koji vam nastoje dati informacije koje su vam potrebne na jeziku koji je svima razumljiv.

Ako imate bilo kakvih pitanja, moje znanje seže od svega vezanog uz Windows operativni sustav kao i Android za mobitele. I moja je posvećenost vama, uvijek sam spreman odvojiti nekoliko minuta i pomoći vam riješiti sva pitanja koja imate u ovom internetskom svijetu.