Vyolasyon done nan ChatGPT ak Mixpanel: sa k te pase

Vyolasyon an pa t nan sistèm OpenAI yo, men nan Mixpanel, yon founisè analiz ekstèn.
Se sèlman itilizatè ki itilize API a sou platform.openai.com ki te afekte, sitou devlopè ak konpayi yo.
Done idantifikasyon ak teknik yo te ekspoze, men se pa chat, modpas, kle API oswa enfòmasyon peman.
OpenAI koupe tout relasyon ak Mixpanel, l ap revize tout founisè li yo, epi li rekòmande pou pran plis prekosyon kont èskrokri (phishing).

Itilizatè yo Chat GPT Nan dènye èdtan yo, yo te resevwa yon imèl ki te fè plis pase yon moun sezi: OpenAI rapòte yon vyolasyon done ki lye ak platfòm API li a.Avètisman an rive jwenn yon gwo odyans, ki gen ladan moun ki pa te afekte dirèkteman, sa ki te rive... te kreye kèk konfizyon sou vrè dimansyon ensidan an.

Sa konpayi an konfime se ke te gen yon aksè san otorizasyon nan enfòmasyon kèk kliyanMen pwoblèm nan pa t ak sèvè OpenAI yo, men ak... Mixpanel, yon founisè analiz entènèt twazyèm pati ki te kolekte metrik itilizasyon koòdone API nan platform.openai.comMalgre sa, ka a mete pwoblèm nan tounen nan premye plan an. deba sou kijan yo jere done pèsonèl nan sèvis entèlijans atifisyèl yo, tou an Ewòp e anba parapli a RGPD.

Yon pinèz nan Mixpanel, pa nan sistèm OpenAI yo.

Echèk Mixpanel ak ChatGPT

Jan OpenAI detaye nan deklarasyon li a, ensidan an te kòmanse sou Novanm 9lè Mixpanel detekte ke yon atakè te jwenn aksè aksè san otorizasyon nan yon pati nan enfrastrikti li a epi li te ekspòte yon seri done yo te itilize pou analiz. Pandan semèn sa yo, vandè a te fè yon ankèt entèn pou detèmine ki enfòmasyon ki te konpwomèt.

Yon fwa Mixpanel te gen plis klète, te enfòme OpenAI ofisyèlman nan dat 25 novanm nanvoye ansanm done ki afekte yo pou konpayi an ka evalye enpak la sou pwòp kliyan li yo. Se sèlman lè sa a OpenAI te kòmanse kwaze done yo., idantifye kont ki potansyèlman enplike yo epi prepare notifikasyon pa imèl k ap rive jou sa yo bay plizyè milye itilizatè atravè lemond.

OpenAI ensiste ke Pa gen okenn entrizyon nan sèvè yo, aplikasyon yo, oswa baz done yo.Atakan an pa t jwenn aksè nan ChatGPT oswa sistèm entèn konpayi an, men pito nan anviwònman yon founisè ki t ap kolekte done analiz. Malgre sa, pou itilizatè final la, konsekans pratik la se menm bagay la: kèk nan done yo te fini kote yo pa ta dwe ye a.

Kalite senaryo sa yo tonbe anba sa yo konnen nan sekirite sibernetik kòm yon atak sou... chèn ekipman dijitalOlye pou yo atake platfòm prensipal la dirèkteman, kriminèl yo vize yon twazyèm pati ki jere done ki soti nan platfòm sa a epi ki souvan gen kontwòl sekirite mwens strik.

Atik ki gen rapò ak:

Ki done asistan IA yo kolekte e kijan pou pwoteje vi prive w

Ki itilizatè ki te aktyèlman afekte yo

vyolasyon done chatgpt

Youn nan pwen ki jenere plis dout se sou ki moun ki ta dwe vrèman konsène. Sou pwen sa a, OpenAI te byen klè: Twou a sèlman afekte moun ki itilize API OpenAI a. atravè entènèt la platform.openai.comSa vle di, sitou devlopè, konpayi ak òganizasyon ki entegre modèl konpayi an nan pwòp aplikasyon ak sèvis yo.

Itilizatè ki sèlman itilize vèsyon regilye ChatGPT nan navigatè a oswa aplikasyon an, pou kesyon okazyonèl oswa travay pèsonèl, Yo pa t ap afekte dirèkteman Akòz ensidan an, jan konpayi an repete nan tout deklarasyon li yo. Malgre sa, pou transparans, OpenAI te chwazi voye imèl enfòmasyon an yon fason trè laj, sa ki te kontribye pou bay anpil moun ki pa enplike enkyetid.

Kontni eksklizif - Klike la a Kijan pou enstale AdGuard Home san konesans teknik

Nan ka API a, li nòmal ke dèyè li gen pwojè pwofesyonèl, entegrasyon antrepriz, oswa pwodwi komèsyalSa a aplike tou pou konpayi Ewopeyen yo. Selon enfòmasyon yo bay la, òganizasyon ki itilize founisè sa a gen ladan yo gwo konpayi teknoloji ak ti startup, sa ki ranfòse lide ke nenpòt aktè nan ekosistèm dijital la vilnerab lè y ap externalize sèvis analiz oswa siveyans.

Sou yon pwen de vi legal, li enpòtan pou kliyan Ewopeyen yo ke sa a se yon vyolasyon nan yon moun ki responsab tretman an (Mixpanel) ki jere done yo sou non OpenAI. Sa mande pou avize òganizasyon ki konsène yo epi, lè sa apwopriye, otorite pwoteksyon done yo, an akò avèk règleman GDPR yo.

Ki done ki te koule e ki done ki rete an sekirite

Nan pèspektiv itilizatè a, gwo kesyon an se ki kalite enfòmasyon ki te kite deyò. OpenAI ak Mixpanel dakò ke li... done pwofil ak telemetri debaz, itil pou analiz, men pa pou kontni entèraksyon ak IA oswa kalifikasyon aksè.

Ant done ki potansyèlman ekspoze Eleman sa yo ki gen rapò ak kont API yo jwenn:

non yo bay lè w ap enskri kont lan nan API a.
Adrès imel ki asosye avèk kont sa a.
Kote apwoksimatif (vil, pwovens oswa eta, ak peyi), dedwi nan navigatè a ak adrès IP a.
Sistèm operasyon ak navigatè itilize pou jwenn aksè platform.openai.com.
Sit entènèt referans (referans) kote yo te rive nan koòdone API a.
Idantifyan itilizatè entèn oswa òganizasyon lye ak kont API a.

Ansanm zouti sa yo poukont yo pa pèmèt pèsonn pran kontwòl yon kont oswa egzekite apèl API nan non itilizatè a, men li bay yon pwofil konplè sou kiyès itilizatè a ye, kijan yo konekte, ak kijan yo itilize sèvis la. Pou yon atakè ki espesyalize nan jeni sosyalDone sa yo ka bon kalite lè w ap prepare imèl oswa mesaj ki vrèman konvenkan.

An menm tan, OpenAI mete aksan sou lefèt ke gen yon blòk enfòmasyon ki pa te konpwomètDapre konpayi an, yo rete an sekirite:

Konvèsasyon chat avèk ChatGPT, ki gen ladan envit ak repons.
Demann API ak jounal itilizasyon (kontni pwodui, paramèt teknik, elatriye).
Modpas, kalifikasyon, ak kle API nan kont yo.
Enfòmasyon sou Peman, tankou nimewo kat oswa enfòmasyon sou bòdwo.
Dokiman idantite ofisyèl yo oubyen lòt enfòmasyon patikilyèman sansib.

Nan lòt mo, ensidan an tonbe anba kad la done idantifikasyon ak kontèksMen, li pa touche ni konvèsasyon ak IA yo ni kle ki ta pèmèt yon twazyèm pati opere dirèkteman sou kont yo.

Risk prensipal yo: èskrokri ak enjenyè sosyal

Kijan èskrokri fonksyone

Menm si atakè a pa gen modpas oswa kle API, li posib pou genyen yo non, adrès imel, kote, ak idantifyan entèn yo pèmèt lansman kanpay fwod pi kredib. Se la OpenAI ak ekspè sekirite yo ap konsantre efò yo.

Avèk enfòmasyon sa yo sou tab la, li fasil pou konstwi yon mesaj ki sanble lejitim: Imèl ki imite stil kominikasyon OpenAI aYo mansyone API a, yo site non itilizatè a, e menm yo fè alisyon ak vil oswa peyi yo pou fè alèt la sanble pi reyèl. Pa gen okenn bezwen atake enfrastrikti a si ou ka twonpe itilizatè a pou l bay enfòmasyon li yo sou yon fo sit entènèt.

Kontni eksklizif - Klike la a Ki jan yo refè modpas 1Password nan yon òdinatè ki tonbe?

Senaryo ki pi posib yo enplike tantativ pou èskrokri klasik (lyen ki mennen nan swadizan panèl jesyon API pou "verifye kont lan") epi pa teknik jeni sosyal ki pi elabore ki vize administratè òganizasyon oswa ekip IT nan konpayi ki itilize API a anpil.

An Ewòp, pwen sa a lye dirèkteman ak egzijans GDPR yo sou minimize done yoGen kèk espesyalis nan sibersekirite, tankou ekip OX Security yo te site nan medya Ewopeyen yo, ki fè remake ke kolekte plis enfòmasyon pase sa ki estrikteman nesesè pou analiz pwodwi—pa egzanp, imèl oswa done detaye sou lokalizasyon—ka antre an konfli ak obligasyon pou limite kantite done ki trete otank posib.

Repons OpenAI a: yon repo ak Mixpanel epi yon revizyon apwofondi

Yon fwa OpenAI te resevwa detay teknik sou ensidan an, li te eseye reyaji avèk desizyon. Premye mezi a te... retire nèt entegrasyon Mixpanel la nan tout sèvis pwodiksyon li yo, pou founisè a pa gen aksè ankò a nouvo done ki pwodui pa itilizatè yo.

An menm tan, konpayi an deklare ke ap revize an pwofondè ansanm done ki afekte yo pou konprann enpak reyèl la sou chak kont ak òganizasyon. Baze sou analiz sa a, yo te kòmanse notifye endividyèlman bay administratè, konpayi ak itilizatè ki parèt nan ansanm done atakè a te ekspòte a.

OpenAI deklare tou ke li te kòmanse verifikasyon sekirite adisyonèl sou tout sistèm yo ak tout lòt founisè ekstèn yo ak ki moun li travay. Objektif la se ogmante egzijans pwoteksyon yo, ranfòse kloz kontra yo, epi kontwole avèk plis rigè fason twazyèm pati sa yo kolekte epi estoke enfòmasyon yo.

Konpayi an mete aksan nan kominikasyon li yo ke "konfyans, sekirite ak vi priveSa yo se eleman santral nan misyon li. Pi lwen pase diskou a, ka sa a montre kijan yon vyolasyon nan yon ajan ki sanble segondè ka gen yon efè dirèk sou sekirite yon sèvis osi masiv ke ChatGPT.

Enpak sou itilizatè yo ak biznis yo nan peyi Espay ak Ewòp

Nan kontèks Ewopeyen an, kote GDPR ak règleman espesifik pou IA nan lavni Yo fikse yon nivo ki wo pou pwoteksyon done, epi ensidan tankou sa a yo byen egzamine. Pou nenpòt konpayi ki itilize API OpenAI a nan Inyon Ewopeyen an, yon vyolasyon done pa yon founisè analiz se pa yon ti bagay.

Yon bò, kontwolè done Ewopeyen yo ki fè pati API a ap gen pou revize evalyasyon enpak yo ak jounal aktivite yo pou verifye kijan yo dekri itilizasyon founisè tankou Mixpanel epi si enfòmasyon yo bay pwòp itilizatè yo a ase klè.

Yon lòt bò, ekspozisyon imèl antrepriz, kote, ak idantifyan òganizasyonèl ouvè pòt pou Atak siblé kont ekip devlopman, depatman IT, oswa responsab pwojè IASa a pa sèlman konsène risk potansyèl pou itilizatè endividyèl, men tou pou konpayi ki baze pwosesis biznis kritik sou modèl OpenAI.

Nan peyi Espay, kalite twou sa a ap vini sou rada a. Ajans Pwoteksyon Done Panyòl (AEPD) lè yo afekte sitwayen rezidan oswa antite ki etabli nan teritwa nasyonal la. Si òganizasyon ki afekte yo konsidere ke flit la poze yon risk pou dwa ak libète moun yo, yo gen obligasyon pou evalye li epi, lè sa apwopriye, pou avize otorite konpetan an tou.

Konsèy pratik pou pwoteje kont ou

Anplis eksplikasyon teknik yo, sa anpil itilizatè vle konnen se Kisa yo gen pou yo fè kounye a?OpenAI ensiste ke chanje modpas la pa esansyèl, paske li pa gen okenn fwit, men pifò ekspè rekòmande pou aplike yon kouch siplemantè prekosyon.

Kontni eksklizif - Klike la a Ki paramèt pi bon pou mete ajou Avast Antivirus?

Si w ap itilize API OpenAI a, oubyen si w vle pran prekosyon, li rekòmande pou w swiv yon seri etap debaz ki Yo diminye risk la anpil ke yon atakè ta ka eksplwate done ki koule yo:

Fè atansyon ak imèl inatandi yo ki pretann yo soti nan sèvis OpenAI oswa sèvis ki gen rapò ak API, sitou si yo mansyone tèm tankou "verifikasyon ijan", "ensidan sekirite" oswa "blokaj kont".
Toujou verifye adrès moun k ap voye a ak domèn lyen yo apiye sou li anvan ou klike sou li. Si ou gen dout, li pi bon pou ou jwenn aksè manyèlman. platform.openai.com tape URL la nan navigatè a.
Aktive otantifikasyon plizyè faktè (MFA/2FA) sou kont OpenAI ou a ak nenpòt lòt sèvis sansib. Li se yon baryè ki efikas anpil menm si yon moun jwenn modpas ou a atravè twonpri.
Pa pataje modpas, kle API, oswa kòd verifikasyon. via imèl, chat, oswa telefòn. OpenAI raple itilizatè yo ke li pap janm mande kalite done sa yo atravè chanèl ki pa verifye.
Valè chanje modpas ou Si ou se yon gwo itilizatè API a oswa si ou gen tandans reitilize li nan lòt sèvis, yon bagay ki jeneralman pi bon pou evite.

Pou moun k ap opere nan konpayi oswa k ap jere pwojè ak plizyè devlopè, sa a ka yon bon moman pou revize règleman sekirite entèn yoPèmisyon aksè API ak pwosedi repons ensidan, ann aliyen yo ak rekòmandasyon ekip sibersekirite yo.

Leson sou done, twazyèm pati, ak konfyans nan IA

Flit Mixpanel la te limite konpare ak lòt gwo ensidan nan dènye ane yo, men li rive nan yon moman kote... Sèvis IA jeneratif yo vin tounen yon bagay komen. Sa a aplike ni pou moun ni pou konpayi Ewopeyen yo. Chak fwa yon moun enskri, entegre yon API, oswa telechaje enfòmasyon nan yon zouti konsa, y ap mete yon pati enpòtan nan lavi dijital yo nan men twazyèm pati.

Youn nan leson ka sa a anseye nou se nesesite pou minimize done pèsonèl yo pataje ak founisè ekstèn yoPlizyè ekspè mete aksan sou ke, menm lè w ap travay avèk konpayi lejitim ak byen koni, chak done idantifyab ki kite anviwònman prensipal la ouvè yon nouvo pwen ekspozisyon potansyèl.

Li mete aksan tou sou nan ki pwen kominikasyon transparan Sa a enpòtan anpil. OpenAI chwazi bay enfòmasyon jeneral, menm voye imèl bay itilizatè ki pa afekte yo, sa ki ka lakòz kèk enkyetid men, an retou, kite mwens plas pou sispèk sou yon mank enfòmasyon.

Nan yon senaryo kote IA ap kontinye entegre nan pwosedi administratif, bank, sante, edikasyon, ak travay a distans atravè Ewòp, ensidan tankou sa a sèvi kòm yon rapèl ke Sekirite pa depann sèlman de founisè prensipal la.men pito tout rezo konpayi ki dèyè li a. E menm si vyolasyon done a pa gen ladan modpas oswa konvèsasyon, risk fwod la rete reyèl si yo pa adopte abitid pwoteksyon debaz yo.

Tout sa ki te pase ak vyolasyon ChatGPT ak Mixpanel la montre kijan menm yon flit relativman limite ka gen konsekans enpòtan: li fòse OpenAI repanse relasyon li ak twazyèm pati yo, li pouse konpayi Ewopeyen yo ak devlopè yo revize pratik sekirite yo, epi li raple itilizatè yo ke prensipal defans yo kont atak yo rete rete enfòme. kontwole imèl yo resevwa yo epi ranfòse pwoteksyon kont yo.

Alberto navarro

Mwen se yon antouzyast teknoloji ki te vire enterè "jik" li nan yon pwofesyon. Mwen te pase plis pase 10 ane nan lavi mwen itilize teknoloji dènye kri ak brikolaj ak tout kalite pwogram nan pi kiryozite. Koulye a, mwen te espesyalize nan teknoloji òdinatè ak jwèt videyo. Sa a se paske depi plis pase 5 ane mwen ap ekri pou divès sit entènèt sou teknoloji ak jwèt videyo, kreye atik ki ap chèche ba w enfòmasyon ou bezwen an nan yon lang ke tout moun konprann.

Si w gen nenpòt kesyon, konesans mwen varye ant tout bagay ki gen rapò ak sistèm operasyon Windows la ak Android pou telefòn mobil yo. Ak angajman mwen se avè ou, mwen toujou dispoze pase kèk minit epi ede ou rezoud nenpòt kesyon ou ka genyen nan mond entènèt sa a.