ChatGPT adatvédelmi incidens: mi történt a Mixpanellel és hogyan érinti Önt

A felhasználók a ChatGPT Az elmúlt néhány órában kaptak egy e-mailt, ami több szemöldököt is felvonta: Az OpenAI API-platformjához kapcsolódó adatvédelmi incidensről számolt be.A figyelmeztetés hatalmas közönséget ért el, beleértve azokat is, akiket közvetlenül nem érintett a dolog. némi zavart okozott az incidens tényleges mértékéről.

Amit a cég megerősített, az az, hogy történt egy jogosulatlan hozzáférés bizonyos ügyfelek adataihozDe a probléma nem az OpenAI szervereivel volt, hanem... Mixpanel, egy harmadik féltől származó webanalitikai szolgáltató, amely API-felület használati mutatókat gyűjtött a platform.openai.comAz eset mégis újra előtérbe helyezi a kérdést. vita arról, hogyan kezelik a személyes adatokat a mesterséges intelligencia szolgáltatásokban, Európában is, és a RGPD.

A Mixpanelben van egy hiba, nem az OpenAI rendszereiben

Ahogy az OpenAI a közleményében részletezte, az incidens akkor történt, amikor... November 9amikor a Mixpanel észlelte, hogy egy támadó hozzáférést szerzett jogosulatlan hozzáférés az infrastruktúrájának egy részéhez és exportált egy elemzéshez használt adathalmazt. Ezekben a hetekben a szállító belső vizsgálatot folytatott annak megállapítására, hogy milyen információk kerültek veszélybe.

Miután a Mixpanel tisztább képet kapott, november 25-én hivatalosan is tájékoztatta az OpenAI-taz érintett adatkészlet elküldése, hogy a vállalat felmérhesse a saját ügyfeleire gyakorolt ​​hatást. Csak ezután kezdte az OpenAI az adatok kereszthivatkozását, azonosítsa a potenciálisan érintett fiókokat, és készítse elő az e-mail értesítéseket, amelyek manapság több ezer felhasználóhoz érkeznek világszerte.

Az OpenAI ragaszkodik ahhoz, hogy Nem történt behatolás a szervereikbe, alkalmazásaikba vagy adatbázisaikba.A támadó nem a ChatGPT-hez vagy a vállalat belső rendszereihez férhetett hozzá, hanem egy olyan szolgáltató környezetéhez, amely analitikai adatokat gyűjtött. Ennek ellenére a végfelhasználó számára a gyakorlati következmény ugyanaz: adataik egy része oda került, ahová nem kellett volna.

Az ilyen típusú forgatókönyvek a kiberbiztonságban a ... elleni támadásnak minősülnek. digitális ellátási láncAhelyett, hogy közvetlenül a fő platformot támadnák, a bűnözők egy harmadik felet vesznek célba, amely az adott platformról származó adatokat kezel, és gyakran kevésbé szigorú biztonsági ellenőrzésekkel rendelkezik.

Kapcsolódó cikk:

Milyen adatokat gyűjtenek a mesterséges intelligencia asszisztensek, és hogyan védheti meg adatait?

Mely felhasználókat érintette valójában

Az egyik legtöbb kétséget kiváltó kérdés az, hogy kinek kellene valójában aggódnia. Az OpenAI ebben a kérdésben meglehetősen egyértelmű volt: A különbség csak azokat érinti, akik az OpenAI API-t használják. az interneten keresztül platform.openai.comVagyis, főként fejlesztők, vállalatok és szervezetek amelyek integrálják a vállalat modelljeit saját alkalmazásaikba és szolgáltatásaikba.

Azok a felhasználók, akik a ChatGPT normál verzióját csak alkalmi kérdésekre vagy személyes feladatokra használják a böngészőben vagy az alkalmazásban, Nem érintették volna őket közvetlenül az incidens miatt, ahogy a vállalat minden közleményében megismétli. Ennek ellenére az átláthatóság érdekében az OpenAI úgy döntött, hogy nagyon széles körben küldi el a tájékoztató e-mailt, ami sok olyan embert is megrémített, akik nem is érintettek az ügyben.

Az API esetében általában ott van mögötte egy professzionális projektek, vállalati integrációk vagy kereskedelmi termékekEz az európai vállalatokra is vonatkozik. A megadott információk szerint a szolgáltatót igénybe vevő szervezetek között nagy technológiai vállalatok és kis startupok egyaránt megtalálhatók, ami megerősíti azt az elképzelést, hogy a digitális ökoszisztéma bármely szereplője sebezhető, amikor analitikai vagy monitoring szolgáltatásokat kiszervez.

Jogi szempontból az európai ügyfelek számára releváns, hogy ez egy jogsértés egy a kezelésért felelős személy (Mixpanel), amely az OpenAI nevében kezeli az adatokat. Ehhez a GDPR szabályozásának megfelelően értesíteni kell az érintett szervezeteket és adott esetben az adatvédelmi hatóságokat.

Milyen adatok szivárogtak ki, és milyen adatok maradnak biztonságban?

A felhasználó szempontjából a nagy kérdés az, hogy milyen információk maradtak ki. Az OpenAI és a Mixpanel egyetért abban, hogy... profiladatok és alapvető telemetria, hasznos elemzésekhez, de nem a mesterséges intelligenciával vagy hozzáférési adatokkal történő interakciók tartalmához.

Között potenciálisan kiszivárgott adatok Az API-fiókokhoz kapcsolódó következő elemek találhatók:

• név a fiók API-ban történő regisztrálásakor megadott.
• Email cím ehhez a fiókhoz társítva.
• Hozzávetőleges hely (város, megye vagy állam, és ország), a böngészőből és az IP-címből következtetve.
• Operációs rendszer és böngésző hozzáféréshez használt platform.openai.com.
• Referencia weboldalak (hivatkozók), amelyekről az API felületet elérték.
• Belső felhasználói vagy szervezeti azonosítók API-fiókhoz kapcsolva.

Ez az eszközkészlet önmagában nem teszi lehetővé senki számára, hogy átvegye az irányítást egy fiók felett, vagy API-hívásokat hajtson végre a felhasználó nevében, de meglehetősen teljes profilt biztosít arról, hogy ki a felhasználó, hogyan csatlakozik, és hogyan használja a szolgáltatást. Egy olyan támadó számára, aki a következőkre specializálódott: szociális tervezésEzek az adatok aranyat érhetnek, amikor rendkívül meggyőző e-maileket vagy üzeneteket készítünk.

Ugyanakkor az OpenAI hangsúlyozza, hogy létezik egy olyan információblokk, amely nem került veszélybeA cég szerint továbbra is biztonságban vannak:

• Csevegések a ChatGPT segítségével, beleértve a promptokat és válaszokat is.
• API-kérelmek és használati naplók (generált tartalom, technikai paraméterek stb.).
• Jelszavak, hitelesítő adatok és API-kulcsok a számlákról.
• Fizetési információk, például kártyaszámok vagy számlázási információk.
• Hivatalos személyazonosító okmányok vagy más különösen érzékeny információkat.

Más szóval, az incidens a ... hatáskörébe tartozik. azonosító és kontextuális adatokDe sem a mesterséges intelligenciával folytatott beszélgetéseket, sem azokat a kulcsokat nem érintette, amelyek lehetővé tennék egy harmadik fél számára, hogy közvetlenül a számlákon dolgozzon.

Fő kockázatok: adathalászat és pszichológiai manipuláció

Még ha a támadó nem is rendelkezik jelszavakkal vagy API-kulcsokkal, azok birtoklásával név, e-mail cím, helyszín és belső azonosítók lehetővé teszi az indítást csalási kampányok sokkal hitelesebb. Az OpenAI és a biztonsági szakértők erre összpontosítják erőfeszítéseiket.

Az asztalon lévő információk birtokában könnyű megfogalmazni egy legitimnek tűnő üzenetet: az OpenAI kommunikációs stílusát utánzó e-mailekMegemlítik az API-t, név szerint idézik a felhasználót, sőt, még a városára vagy országára is utalnak, hogy a riasztás valóságosabbnak tűnjön. Nincs szükség az infrastruktúra támadására, ha becsapható a felhasználó, hogy megadja a hitelesítő adatait egy hamis weboldalon.

A legvalószínűbb forgatókönyvek a következőkre irányulnak: klasszikus adathalászat (linkek az állítólagos API-kezelő panelekhez a „fiók ellenőrzéséhez”), valamint bonyolultabb társadalmi manipulációs technikákkal, amelyek a szervezetek adminisztrátorait vagy az API-t intenzíven használó vállalatok informatikai csapatait célozzák meg.

Európában ez a pont közvetlenül kapcsolódik a GDPR követelményeihez. adatminimalizálásNéhány kiberbiztonsági szakember, mint például az európai médiában idézett OX Security csapata, rámutat, hogy a termékelemzéshez feltétlenül szükségesnél több információ – például e-mailek vagy részletes helyadatok – gyűjtése ütközhet a feldolgozott adatok mennyiségének a lehető legnagyobb mértékű korlátozására vonatkozó kötelezettséggel.

Az OpenAI válasza: szünet a Mixpanellel és alapos áttekintés

Miután az OpenAI megkapta az incidens technikai részleteit, megpróbált határozottan reagálni. Az első intézkedés a következő volt: A Mixpanel integrációjának teljes eltávolítása összes termelési szolgáltatásának, így a szolgáltató a továbbiakban nem férhet hozzá a felhasználók által generált új adatokhoz.

Ugyanakkor a cég kijelenti, hogy alaposan felülvizsgálja az érintett adathalmazt hogy megértsék az egyes számlákra és szervezetekre gyakorolt ​​valódi hatást. Az elemzés alapján elkezdték külön-külön értesíteni a támadó által exportált adathalmazban megjelenő rendszergazdáknak, vállalatoknak és felhasználóknak.

Az OpenAI azt is állítja, hogy elkezdte további biztonsági ellenőrzéseket végeznek minden rendszerükön és minden más külső szolgáltatóval szemben akikkel együttműködik. A cél a védelmi követelmények emelése, a szerződéses záradékok megerősítése, valamint annak szigorúbb ellenőrzése, hogy ezek a harmadik felek hogyan gyűjtenek és tárolnak információkat.

A vállalat közleményeiben hangsúlyozza, hogy „bizalom, biztonság és adatvédelemEzek küldetésük központi elemei. A retorikán túl ez az eset jól szemlélteti, hogy egy látszólag másodlagos ügynököt ért incidens hogyan befolyásolhatja közvetlen módon egy olyan hatalmas szolgáltatás, mint a ChatGPT, érzékelt biztonságát.

A spanyolországi és európai felhasználókra és vállalkozásokra gyakorolt ​​hatás

Európai kontextusban, ahol a GDPR és a jövőbeli mesterséges intelligencia-specifikus szabályozások Magasra tették a mércét az adatvédelem terén, és az ehhez hasonló incidenseket alaposan kivizsgálják. Bármely, az Európai Unión belül az OpenAI API-t használó vállalat számára nem kis dolog egy analitikai szolgáltató által elkövetett adatvédelmi incidens.

Egyrészt az API részét képező európai adatkezelőknek a következőket kell tenniük: tekintsék át a hatásvizsgálataikat és a tevékenységi naplóikat hogy ellenőrizzék, hogyan írják le az olyan szolgáltatók, mint a Mixpanel használatát, és hogy a saját felhasználóiknak nyújtott információk elég egyértelműek-e.

Másrészről a vállalati e-mailek, helyszínek és szervezeti azonosítók nyilvánosságra kerülése megnyitja az utat a ... felé. Célzott támadások fejlesztőcsapatok, informatikai részlegek vagy mesterséges intelligencia projektmenedzserek ellenEz nem csak az egyes felhasználókra leselkedő potenciális kockázatokról szól, hanem azokra a vállalatokra is, amelyek kritikus üzleti folyamataikat OpenAI modellekre alapozzák.

Spanyolországban ez a fajta szakadék egyre inkább a figyelem középpontjába kerül. Spanyol Adatvédelmi Ügynökség (AEPD) amikor az ország területén lakóhellyel rendelkező állampolgárokat vagy az ország területén letelepedett szervezeteket érintenek. Ha az érintett szervezetek úgy ítélik meg, hogy a szivárgás kockázatot jelent az egyének jogaira és szabadságaira nézve, kötelesek azt értékelni, és adott esetben értesíteni az illetékes hatóságot is.

Gyakorlati tippek a fiókod védelméhez

A technikai magyarázatokon túl sok felhasználó azt szeretné tudni, hogy Mit kell most tenniük?Az OpenAI ragaszkodik ahhoz, hogy a jelszó megváltoztatása nem elengedhetetlen, mivel az nem szivárgott ki, de a legtöbb szakértő további óvatossági szint alkalmazását javasolja.

Ha az OpenAI API-t használod, vagy egyszerűen csak a biztonságra törekszel, ajánlott néhány alapvető lépést követni, amelyek Drasztikusan csökkentik a kockázatot hogy egy támadó kihasználhatja a kiszivárgott adatokat:

• Legyen óvatos a váratlan e-mailekkel amelyek azt állítják, hogy az OpenAI-tól vagy API-hoz kapcsolódó szolgáltatásoktól származnak, különösen, ha olyan kifejezéseket említenek, mint a „sürgős ellenőrzés”, a „biztonsági incidens” vagy a „fiókzárolás”.
• Mindig ellenőrizze a feladó címét és a linkek által jelzett domaint a kattintás előtt. Ha kétségei vannak, a legjobb, ha manuálisan nyitja meg. platform.openai.com beírja az URL-t a böngészőbe.
• Többtényezős hitelesítés (MFA/2FA) engedélyezése az OpenAI-fiókodon és minden más bizalmas szolgáltatáson. Ez egy nagyon hatékony akadály, még akkor is, ha valaki megtévesztéssel megszerzi a jelszavadat.
• Ne osszon meg jelszavakat, API-kulcsokat vagy ellenőrző kódokat e-mailben, chaten vagy telefonon keresztül. Az OpenAI emlékezteti a felhasználókat, hogy soha nem fog ilyen típusú adatokat ellenőrizetlen csatornákon keresztül kérni.
• Érték változtasd meg a jelszavadat Ha intenzíven használod az API-t, vagy ha hajlamos vagy más szolgáltatásokban újra felhasználni, akkor ezt általában jobb elkerülni.

Azok számára, akik cégeknél dolgoznak, vagy több fejlesztővel közös projekteket kezelnek, ez jó alkalom lehet arra, hogy felülvizsgálja a belső biztonsági szabályzatokatAPI hozzáférési engedélyek és incidensekre adott válaszok, összehangolva azokat a kiberbiztonsági csapatok ajánlásaival.

Tanulságok az adatokról, harmadik felekről és a mesterséges intelligenciába vetett bizalomról

A Mixpanel szivárgása az elmúlt évek más nagyobb incidenseihez képest korlátozott mértékű volt, de egy olyan időszakban történt, amikor a A generatív mesterséges intelligencia szolgáltatások mindennapossá váltak Ez magánszemélyekre és európai vállalatokra egyaránt vonatkozik. Minden alkalommal, amikor valaki regisztrál, integrál egy API-t, vagy információt tölt fel egy ilyen eszközbe, digitális életének jelentős részét harmadik felek kezébe adja.

Az eset egyik tanulsága az, hogy szükség van rá, minimalizálja a külső szolgáltatókkal megosztott személyes adatok mennyiségétTöbb szakértő is hangsúlyozza, hogy még legitim és ismert vállalatokkal való együttműködés esetén is minden azonosítható adat, amely elhagyja a fő környezetet, új potenciális kitettségi pontot nyit meg.

Azt is kiemeli, hogy milyen mértékben a átlátható kommunikáció Ez kulcsfontosságú. Az OpenAI úgy döntött, hogy széles körű információkat nyújt, akár e-maileket is küld az érintett felhasználóknak, ami némi riadalmat kelthet, de ezáltal kevesebb teret enged az információhiány gyanújának.

Egy olyan forgatókönyvben, amelyben a mesterséges intelligencia továbbra is integrálódik az adminisztratív eljárásokba, a banki szolgáltatásokba, az egészségügybe, az oktatásba és a távmunkába Európa-szerte, az ehhez hasonló események arra emlékeztetnek, hogy A biztonság nem kizárólag a fő szolgáltatótól függ.hanem a mögötte álló vállalatok teljes hálózatáét. És hogy még ha az adatvédelmi incidens nem is érint jelszavakat vagy beszélgetéseket, a csalás kockázata továbbra is nagyon is valós, ha nem alkalmazzák az alapvető védelmi szokásokat.

Minden, ami a ChatGPT és a Mixpanel incidensével történt, jól mutatja, hogy még egy viszonylag korlátozott szivárgásnak is jelentős következményei lehetnek: arra kényszeríti az OpenAI-t, hogy újragondolja a harmadik felekkel való kapcsolatát, az európai vállalatokat és fejlesztőket arra ösztönzi, hogy vizsgálják felül biztonsági gyakorlataikat, és emlékezteti a felhasználókat, hogy a támadások elleni fő védekezésük továbbra is a tájékozottság. figyeljék a kapott e-maileket, és erősítsék fiókjaik védelmét.

Alberto navarro

Technológia-rajongó vagyok, aki "geek" érdeklődését szakmává változtatta. Életemből több mint 10 évet töltöttem a legmodernebb technológiával, és pusztán kíváncsiságból mindenféle programmal bütykölgettem. Most a számítástechnikára és a videojátékokra szakosodtam. Ennek az az oka, hogy több mint 5 éve írok különféle technológiával és videojátékokkal foglalkozó weboldalakra, olyan cikkeket készítve, amelyek mindenki számára érthető nyelven igyekeznek megadni a szükséges információkat.

Ha bármilyen kérdése van, tudásom a Windows operációs rendszerrel, valamint a mobiltelefonokhoz készült Androiddal kapcsolatos mindenre kiterjed. És az én elkötelezettségem az Ön iránti elkötelezettségem, mindig készen állok néhány percet rászánni arra, hogy segítsek megoldani minden kérdését ebben az internetes világban.