ChatGPT տվյալների արտահոսք. ինչ է պատահել Mixpanel-ի հետ և ինչպես է դա ազդում ձեզ վրա

Օգտատերեր ChatGPT Վերջին մի քանի ժամվա ընթացքում նրանք ստացել են մի էլեկտրոնային նամակ, որը բազմաթիվ զարմանք է առաջացրել. OpenAI-ը հայտնում է իր API հարթակի հետ կապված տվյալների արտահոսքի մասինԶգուշացումը հասել է լայն լսարանի, այդ թվում՝ այն մարդկանց, ովքեր անմիջականորեն չեն տուժել, ինչը... որոշակի խառնաշփոթ առաջացրեց միջադեպի իրական մասշտաբի մասին։

Ընկերությունը հաստատել է, որ տեղի է ունեցել որոշ հաճախորդների տեղեկատվությանը չարտոնված մուտք գործելըԲայց խնդիրը OpenAI-ի սերվերների մեջ չի եղել, այլ... Միքսպանել, երրորդ կողմի վեբ վերլուծության մատակարար, որը հավաքել է API ինտերֆեյսի օգտագործման չափանիշներ platform.openai.comԱյնուամենայնիվ, դեպքը հարցը կրկին առաջ է քաշում։ քննարկում արհեստական ​​բանականության ծառայություններում անձնական տվյալների կառավարման վերաբերյալ, նաև Եվրոպայում և հովանու ներքո GDPR.

Սխալ Mixpanel-ում է, ոչ թե OpenAI-ի համակարգերում։

Ինչպես մանրամասնել է OpenAI-ը իր հայտարարության մեջ, միջադեպը տեղի է ունեցել Նոյեմբերի 9երբ Mixpanel-ը հայտնաբերեց, որ հարձակվողը մուտք է ստացել չարտոնված մուտք իր ենթակառուցվածքների մի մասին և արտահանել էր վերլուծության համար օգտագործված տվյալների հավաքածու։ Այդ շաբաթների ընթացքում մատակարարը ներքին հետաքննություն էր անցկացրել՝ պարզելու համար, թե որ տեղեկություններն են խախտվել։

Երբ Mixpanel-ը ավելի պարզ դարձավ, պաշտոնապես տեղեկացրեց OpenAI-ին նոյեմբերի 25-ինազդակիր տվյալների բազմության ուղարկումը, որպեսզի ընկերությունը կարողանա գնահատել դրա ազդեցությունը իր սեփական հաճախորդների վրա։ Միայն դրանից հետո OpenAI-ը սկսեց տվյալների խաչաձև հղումներ կատարել, բացահայտել պոտենցիալ ներգրավված հաշիվները և պատրաստել էլեկտրոնային փոստով ծանուցումները, որոնք այս օրերին հասնում են աշխարհի հազարավոր օգտատերերի։

OpenAI-ը պնդում է, որ Նրանց սերվերներին, ծրագրերին կամ տվյալների բազաներին որևէ ներխուժում չի եղելՀարձակվողը մուտք չի ստացել ChatGPT կամ ընկերության ներքին համակարգեր, այլ մուտք է գործել վերլուծական տվյալներ հավաքող մատակարարի միջավայր։ Այնուամենայնիվ, վերջնական օգտատիրոջ համար գործնական հետևանքը նույնն է. նրանց որոշ տվյալներ հայտնվել են այնտեղ, որտեղ չպետք է լինեին։

Այս տեսակի սցենարները ընկնում են այն բանի տակ, ինչը կիբերանվտանգության մեջ հայտնի է որպես հարձակում… թվային մատակարարման շղթաՀիմնական հարթակը ուղղակիորեն հարձակվելու փոխարեն, հանցագործները թիրախավորում են երրորդ կողմին, որը մշակում է այդ հարթակի տվյալները և հաճախ ունի ավելի քիչ խիստ անվտանգության վերահսկողություն։

Առնչվող հոդված՝

Ի՞նչ տվյալներ են հավաքում արհեստական ​​բանականության օգնականները և ինչպե՞ս պաշտպանել ձեր գաղտնիությունը

Ո՞ր օգտատերերն են իրականում տուժել

Ամենաշատ կասկածներ առաջացնող կետերից մեկն այն է, թե ով պետք է իրականում մտահոգված լինի։ Այս հարցում OpenAI-ը բավականին հստակ է եղել. Բացը վերաբերում է միայն նրանց, ովքեր օգտագործում են OpenAI API-ը։ ցանցի միջոցով platform.openai.comԱյսինքն՝ հիմնականում մշակողներ, ընկերություններ և կազմակերպություններ որոնք ինտեգրում են ընկերության մոդելները իրենց սեփական հավելվածների և ծառայությունների մեջ։

Օգտատերեր, ովքեր օգտագործում են ChatGPT-ի միայն սովորական տարբերակը զննարկիչում կամ հավելվածում՝ պարբերաբար հարցումների կամ անձնական առաջադրանքների համար, Նրանք անմիջականորեն չէին ազդվի միջադեպի պատճառով, ինչպես ընկերությունը կրկնում է իր բոլոր հայտարարություններում։ Այնուամենայնիվ, թափանցիկության նպատակով OpenAI-ը որոշեց տեղեկատվական էլ. նամակն ուղարկել շատ լայնորեն, ինչը նպաստել է շատ մարդկանց մտահոգությանը, ովքեր ներգրավված չեն։

API-ի դեպքում, սովորաբար, դրա հետևում կա մասնագիտական ​​նախագծեր, կորպորատիվ ինտեգրացիաներ կամ առևտրային արտադրանքներՍա վերաբերում է նաև եվրոպական ընկերություններին: Ըստ տրամադրված տեղեկատվության, այս մատակարարն օգտագործող կազմակերպությունների թվում են ինչպես խոշոր տեխնոլոգիական ընկերություններ, այնպես էլ փոքր ստարտափներ, ինչը ամրապնդում է այն գաղափարը, որ թվային էկոհամակարգի ցանկացած խաղացող խոցելի է վերլուծական կամ մոնիթորինգի ծառայությունների աութսորսինգի ժամանակ:

Իրավական տեսանկյունից, եվրոպացի հաճախորդների համար կարևոր է, որ սա խախտում է բուժման համար պատասխանատու անձ (Mixpanel), որը մշակում է տվյալները OpenAI-ի անունից: Սա պահանջում է տեղեկացնել տուժած կազմակերպություններին և, անհրաժեշտության դեպքում, տվյալների պաշտպանության մարմիններին՝ համաձայն GDPR կանոնակարգերի:

Ինչ տվյալներ են արտահոսել, և որ տվյալներն են մնում անվտանգ

Օգտատիրոջ տեսանկյունից մեծ հարցն այն է, թե ինչպիսի տեղեկատվություն է բաց թողնվել: OpenAI-ը և Mixpanel-ը համաձայն են, որ դա... պրոֆիլի տվյալներ և հիմնական հեռաչափություն, օգտակար է վերլուծության համար, բայց ոչ արհեստական ​​բանականության հետ փոխազդեցությունների բովանդակության կամ մուտքի տվյալների համար։

Նրանց թվում հնարավոր բացահայտված տվյալներ API հաշիվներին վերաբերող հետևյալ տարրերը գտնվում են՝

• Անուն տրամադրվել է հաշիվը API-ում գրանցելիս։
• Էլ․ հասցե կապված այդ հաշվի հետ։
• Մոտավոր գտնվելու վայրը (քաղաք, մարզ կամ նահանգ և երկիր), որը եզրակացվում է զննարկչի և IP հասցեի միջոցով։
• Օպերացիոն համակարգ և զննարկիչ օգտագործվում է մուտք գործելու համար platform.openai.com.
• Հղումներ կատարող կայքեր (հղումներ), որոնցից հասանելի է եղել API ինտերֆեյսը։
• Ներքին օգտատիրոջ կամ կազմակերպության նույնականացուցիչներ կապված է API հաշվի հետ։

Այս գործիքների հավաքածուն ինքնին թույլ չի տալիս որևէ մեկին վերահսկել հաշիվը կամ կատարել API կանչեր օգտատիրոջ անունից, բայց այն տրամադրում է բավականին ամբողջական պրոֆիլ այն մասին, թե ով է օգտատերը, ինչպես է նա միանում և ինչպես է օգտագործում ծառայությունը։ Հարձակվողի համար, որը մասնագիտացած է... սոցիալական ճարտարագիտությունԱյս տվյալները կարող են մաքուր ոսկի լինել չափազանց համոզիչ էլեկտրոնային նամակներ կամ հաղորդագրություններ պատրաստելիս։

Միևնույն ժամանակ, OpenAI-ը ընդգծում է, որ կա տեղեկատվության մի բլոկ, որը չի խախտվելԸնկերության տվյալներով՝ դրանք մնում են անվտանգ.

• Զրույցներ զրույցներում ChatGPT-ի միջոցով, ներառյալ հուշումները և պատասխանները:
• API հարցումներ և օգտագործման գրանցամատյաններ (գեներացված բովանդակություն, տեխնիկական պարամետրեր և այլն):
• Գաղտնաբառեր, մուտքի տվյալներ և API բանալիներ հաշիվների։
• Վճարման տեղեկատվություն, ինչպիսիք են քարտի համարները կամ հաշվի մասին տեղեկությունները։
• Պաշտոնական անձը հաստատող փաստաթղթեր կամ այլ հատկապես զգայուն տեղեկատվություն։

Այլ կերպ ասած, միջադեպը ընկնում է նույնականացման և համատեքստային տվյալներՍակայն այն չի անդրադարձել ո՛չ արհեստական ​​բանականության հետ զրույցներին, ո՛չ էլ այն բանալիներին, որոնք թույլ կտան երրորդ կողմին անմիջապես գործել հաշիվների վրա։

Հիմնական ռիսկերը՝ ֆիշինգ և սոցիալական ինժեներիա

Նույնիսկ եթե հարձակվողը չունի գաղտնաբառեր կամ API բանալիներ, դրանք ունենալը անունը, էլեկտրոնային փոստի հասցեն, գտնվելու վայրը և ներքին նույնականացուցիչները թույլ է տալիս գործարկել խարդախության արշավներ շատ ավելի հավաստի։ Ահա թե որտեղ են OpenAI-ը և անվտանգության մասնագետները կենտրոնացնում իրենց ջանքերը։

Այդ տեղեկատվությունը սեղանին ունենալով՝ հեշտ է կառուցել մի հաղորդագրություն, որը թվում է լեգիտիմ. էլ.փոստեր, որոնք ընդօրինակում են OpenAI-ի հաղորդակցման ոճըՆրանք հիշատակում են API-ը, օգտատիրոջ անունը մեջբերում են և նույնիսկ հղում են կատարում նրա քաղաքին կամ երկրին, որպեսզի ահազանգն ավելի իրական հնչի։ Անհրաժեշտ չէ հարձակվել ենթակառուցվածքի վրա, եթե կարող եք խաբել օգտատիրոջը՝ կեղծ կայքում իր տվյալները փոխանցելու համար։

Ամենահավանական սցենարները ներառում են փորձեր դասական ֆիշինգ (հղումներ դեպի ենթադրյալ API կառավարման վահանակներ՝ «հաշիվը ստուգելու» համար) և ավելի մանրամասն սոցիալական ինժեներիայի մեթոդներով, որոնք ուղղված են API-ը ինտենսիվորեն օգտագործող ընկերությունների կազմակերպությունների ադմինիստրատորներին կամ ՏՏ թիմերին։

Եվրոպայում այս կետը ուղղակիորեն կապված է GDPR պահանջների հետ։ տվյալների նվազագույնի հասցնելըՈրոշ կիբերանվտանգության մասնագետներ, ինչպիսին է եվրոպական լրատվամիջոցներում մեջբերված OX Security թիմը, նշում են, որ արտադրանքի վերլուծության համար խիստ անհրաժեշտից ավելի շատ տեղեկատվության հավաքագրումը, օրինակ՝ էլեկտրոնային նամակները կամ մանրամասն գտնվելու վայրի տվյալները, կարող է հակասել մշակվող տվյալների քանակը հնարավորինս սահմանափակելու պարտավորությանը։

OpenAI-ի պատասխանը. Mixpanel-ի հետ խզում և մանրակրկիտ վերանայում

Երբ OpenAI-ը ստացավ միջադեպի տեխնիկական մանրամասները, այն փորձեց վճռականորեն արձագանքել։ Առաջին միջոցառումն էր ամբողջությամբ հեռացնել Mixpanel ինտեգրացիան իր բոլոր արտադրական ծառայությունների, որպեսզի մատակարարը այլևս հասանելիություն չունենա օգտատերերի կողմից ստեղծված նոր տվյալներին։

Միաժամանակ, ընկերությունը հայտարարում է, որ 2019թ. մանրակրկիտ վերանայում է ազդակիր տվյալների հավաքածուն հասկանալու համար յուրաքանչյուր հաշվի և կազմակերպության վրա իրական ազդեցությունը։ Այդ վերլուծության հիման վրա նրանք սկսել են անհատապես տեղեկացնել հարձակվողի կողմից արտահանված տվյալների բազմության մեջ հայտնվող ադմինիստրատորներին, ընկերություններին և օգտատերերին։

OpenAI-ը նաև պնդում է, որ սկսել է լրացուցիչ անվտանգության ստուգումներ իրենց բոլոր համակարգերի և բոլոր մյուս արտաքին մատակարարների վրա որոնց հետ այն աշխատում է: Նպատակն է բարձրացնել պաշտպանության պահանջները, ամրապնդել պայմանագրային կետերը և ավելի խիստ աուդիտ անցկացնել, թե ինչպես են այս երրորդ կողմերը հավաքում և պահպանում տեղեկատվությունը:

Ընկերությունն իր հաղորդագրության մեջ ընդգծում է, որ «2014թ.վստահություն, անվտանգություն և գաղտնիությունՍրանք դրա առաքելության կենտրոնական տարրերն են։ Հռետորաբանությունից զատ, այս դեպքը ցույց է տալիս, թե ինչպես թվացյալ երկրորդական գործակալի կողմից կատարված խախտումը կարող է անմիջական ազդեցություն ունենալ ChatGPT-ի նման հսկայական ծառայության ենթադրյալ անվտանգության վրա։

Ազդեցությունը Իսպանիայի և Եվրոպայի օգտատերերի և բիզնեսների վրա

Եվրոպական համատեքստում, որտեղ GDPR-ը և արհեստական ​​բանականությանը վերաբերող ապագա կարգավորումները Նրանք բարձր չափանիշ են սահմանում տվյալների պաշտպանության համար, և նման միջադեպերը մանրակրկիտ ուսումնասիրվում են։ Եվրոպական Միության տարածքում OpenAI API-ն օգտագործող ցանկացած ընկերության համար վերլուծական մատակարարի կողմից տվյալների արտահոսքը փոքր խնդիր չէ։

Մի կողմից, API-ի մաս կազմող եվրոպական տվյալների վերահսկիչները ստիպված կլինեն վերանայել դրանց ազդեցության գնահատականները և գործունեության գրանցամատյանները ստուգել, ​​թե ինչպես է նկարագրվում Mixpanel-ի նման մատակարարների օգտագործումը և արդյոք իրենց օգտատերերին տրամադրված տեղեկատվությունը բավականաչափ հստակ է։

Մյուս կողմից, կորպորատիվ էլեկտրոնային փոստի, գտնվելու վայրերի և կազմակերպության նույնականացուցիչների բացահայտումը բացում է դուռը դեպի Նպատակային հարձակումներ մշակողների թիմերի, ՏՏ բաժինների կամ արհեստական ​​բանականության նախագծերի ղեկավարների դեմՍա վերաբերում է ոչ միայն անհատ օգտատերերի համար հնարավոր ռիսկերին, այլև այն ընկերությունների համար, որոնք կարևորագույն բիզնես գործընթացները հիմնում են OpenAI մոդելների վրա։

Իսպանիայում այս տեսակի բացը հայտնվում է... Իսպանիայի տվյալների պաշտպանության գործակալություն (AEPD) երբ դրանք ազդում են երկրի տարածքում բնակվող քաղաքացիների կամ կազմակերպությունների վրա։ Եթե տուժած կազմակերպությունները համարում են, որ արտահոսքը վտանգ է ներկայացնում անհատների իրավունքների և ազատությունների համար, նրանք պարտավոր են գնահատել այն և, անհրաժեշտության դեպքում, տեղեկացնել նաև իրավասու մարմնին։

Գործնական խորհուրդներ ձեր հաշիվը պաշտպանելու համար

Տեխնիկական բացատրություններից զատ, շատ օգտատերեր ցանկանում են իմանալ, թե Ի՞նչ պետք է անեն նրանք հենց հիմա։OpenAI-ը պնդում է, որ գաղտնաբառի փոփոխությունը էական չէ, քանի որ այն չի արտահոսել, սակայն փորձագետների մեծ մասը խորհուրդ է տալիս կիրառել լրացուցիչ զգուշություն։

Եթե ​​դուք օգտագործում եք OpenAI API-ը կամ պարզապես ցանկանում եք անվտանգ լինել, խորհուրդ է տրվում հետևել մի շարք հիմնական քայլերի, որոնք Դրանք զգալիորեն նվազեցնում են ռիսկը որ հարձակվողը կարող է շահագործել արտահոսած տվյալները՝

• Զգույշ եղեք անսպասելի էլեկտրոնային նամակներից որոնք պնդում են, որ OpenAI-ից կամ API-ի հետ կապված ծառայություններից են, հատկապես, եթե դրանք հիշատակում են «անհետաձգելի ստուգում», «անվտանգության միջադեպ» կամ «հաշվի արգելափակում» տերմիններ։
• Միշտ ստուգեք ուղարկողի հասցեն և այն դոմեյնը, որին հղումները տանում են սեղմելուց առաջ։ Եթե կասկածներ ունեք, ավելի լավ է դրան մուտք գործել ձեռքով։ platform.openai.com մուտքագրելով URL-ը զննարկիչում։
• Միացնել բազմագործոն նույնականացումը (MFA/2FA) ձեր OpenAI հաշվի և ցանկացած այլ զգայուն ծառայության վրա: Դա շատ արդյունավետ խոչընդոտ է, նույնիսկ եթե ինչ-որ մեկը խաբեության միջոցով ստանա ձեր գաղտնաբառը:
• Մի՛ կիսվեք գաղտնաբառերով, API բանալիներով կամ հաստատման կոդերով էլ. փոստի, չատի կամ հեռախոսի միջոցով: OpenAI-ը հիշեցնում է օգտատերերին, որ երբեք չի խնդրի այս տեսակի տվյալներ չստուգված ուղիներով:
• Գնահատել փոխել ձեր գաղտնաբառը Եթե ​​դուք API-ի ակտիվ օգտատեր եք կամ հակված եք այն վերօգտագործել այլ ծառայություններում, դա սովորաբար լավագույնս է խուսափել։

Նրանց համար, ովքեր աշխատում են ընկերություններում կամ կառավարում են նախագծեր մի քանի մշակողների հետ, սա կարող է լավ ժամանակ լինել վերանայել ներքին անվտանգության քաղաքականությունըAPI մուտքի թույլտվություններ և միջադեպերին արձագանքման ընթացակարգեր՝ դրանք համապատասխանեցնելով կիբերանվտանգության թիմերի առաջարկություններին։

Դասեր տվյալների, երրորդ կողմերի և արհեստական ​​բանականության նկատմամբ վստահության վերաբերյալ

Mixpanel-ի արտահոսքը սահմանափակ է եղել վերջին տարիների այլ խոշոր միջադեպերի համեմատ, սակայն այն տեղի է ունենում այն ​​ժամանակ, երբ Գեներատիվ արհեստական ​​բանականության ծառայությունները դարձել են տարածված Սա վերաբերում է թե՛ անհատներին, թե՛ եվրոպական ընկերություններին։ Ամեն անգամ, երբ մեկը գրանցվում է, ինտեգրում է API կամ տեղեկատվություն է վերբեռնում նման գործիքի մեջ, նա իր թվային կյանքի զգալի մասը հանձնում է երրորդ կողմերին։

Այս դեպքի դասերից մեկն այն է, որ անհրաժեշտ է նվազագույնի հասցնել արտաքին մատակարարների հետ կիսվող անձնական տվյալների քանակըՄի շարք փորձագետներ ընդգծում են, որ նույնիսկ օրինական և հայտնի ընկերությունների հետ աշխատելիս, հիմնական միջավայրից դուրս եկող յուրաքանչյուր նույնականացվող տվյալ բացում է ազդեցության նոր պոտենցիալ կետ։

Այն նաև ընդգծում է, թե որքանով է թափանցիկ հաղորդակցություն Սա գլխավորն է։ OpenAI-ը որոշել է տրամադրել լայնածավալ տեղեկատվություն, նույնիսկ էլեկտրոնային նամակներ ուղարկելով չտուժած օգտատերերին, ինչը կարող է որոշակի անհանգստություն առաջացնել, բայց, իր հերթին, ավելի քիչ տեղ է թողնում տեղեկատվության պակասի վերաբերյալ կասկածների համար։

Այն դեպքում, երբ արհեստական ​​բանականությունը կշարունակի ինտեգրվել վարչական ընթացակարգերի, բանկային գործունեության, առողջապահության, կրթության և հեռավար աշխատանքի մեջ ամբողջ Եվրոպայում, նման միջադեպերը հիշեցնում են, որ Անվտանգությունը կախված չէ միայն հիմնական մատակարարից։այլ դրա հետևում կանգնած ընկերությունների ամբողջ ցանցի։ Եվ որ, նույնիսկ եթե տվյալների արտահոսքը չի ներառում գաղտնաբառեր կամ զրույցներ, խարդախության ռիսկը մնում է շատ իրական, եթե չընդունվեն պաշտպանության հիմնական սովորույթներ։

ChatGPT-ի և Mixpanel-ի հետ կապված ամեն ինչ ցույց է տալիս, թե ինչպես նույնիսկ համեմատաբար սահմանափակ արտահոսքը կարող է զգալի հետևանքներ ունենալ. այն ստիպում է OpenAI-ին վերանայել իր հարաբերությունները երրորդ կողմերի հետ, եվրոպական ընկերություններին և մշակողներին դրդում է վերանայել իրենց անվտանգության պրակտիկան և հիշեցնում է օգտատերերին, որ հարձակումներից իրենց հիմնական պաշտպանությունը մնում է տեղեկացված լինելը։ վերահսկել նրանց ստացած էլեկտրոնային նամակները և ուժեղացնել իրենց հաշիվների պաշտպանությունը.

Ալբերտո Նավարո

Ես տեխնոլոգիայի էնտուզիաստ եմ, ով իր «գիկ» հետաքրքրությունները վերածել է մասնագիտության։ Ես իմ կյանքի ավելի քան 10 տարին անցկացրել եմ՝ օգտագործելով նորագույն տեխնոլոգիաներ և զուտ հետաքրքրասիրությունից դրդված բոլոր տեսակի ծրագրերի հետ աշխատելիս: Այժմ ես մասնագիտացել եմ համակարգչային տեխնիկայի և տեսախաղերի մեջ։ Դա պայմանավորված է նրանով, որ ավելի քան 5 տարի ես գրում եմ տարբեր կայքերի համար տեխնոլոգիայի և վիդեոխաղերի վերաբերյալ՝ ստեղծելով հոդվածներ, որոնք փորձում են ձեզ տրամադրել ձեզ անհրաժեշտ տեղեկատվությունը բոլորին հասկանալի լեզվով:

Եթե ​​ունեք հարցեր, իմ գիտելիքները տատանվում են Windows օպերացիոն համակարգի հետ կապված ամեն ինչից, ինչպես նաև բջջային հեռախոսների համար նախատեսված Android-ից: Եվ իմ հանձնառությունն է ձեզ, ես միշտ պատրաստ եմ մի քանի րոպե ծախսել և օգնել ձեզ լուծել ցանկացած հարց, որը կարող եք ունենալ այս ինտերնետային աշխարհում: