Pelanggaran data ChatGPT: apa yang terjadi dengan Mixpanel dan bagaimana pengaruhnya terhadap Anda

Pengguna ChatGPT Dalam beberapa jam terakhir, mereka telah menerima email yang membuat banyak orang heran: OpenAI melaporkan pelanggaran data yang terkait dengan platform API-nyaPeringatan ini telah menjangkau khalayak luas, termasuk orang-orang yang tidak terkena dampak langsung, yang telah menimbulkan beberapa kebingungan tentang cakupan sebenarnya dari insiden tersebut.

Apa yang telah dikonfirmasi oleh perusahaan adalah bahwa telah terjadi akses tidak sah ke beberapa informasi pelangganNamun masalahnya bukan pada server OpenAI, tetapi pada... Mixpanel, penyedia analitik web pihak ketiga yang mengumpulkan metrik penggunaan antarmuka API di platform.openai.comMeski begitu, kasus ini membawa isu tersebut kembali ke permukaan. perdebatan tentang bagaimana data pribadi dikelola dalam layanan kecerdasan buatan, juga di Eropa dan di bawah naungan RGPD.

Bug di Mixpanel, bukan di sistem OpenAI

Seperti yang dijelaskan oleh OpenAI dalam pernyataannya, insiden tersebut bermula pada 9 Nopemberketika Mixpanel mendeteksi bahwa penyerang telah memperoleh akses akses tidak sah ke sebagian infrastrukturnya dan telah mengekspor kumpulan data yang digunakan untuk analisis. Selama minggu-minggu tersebut, vendor melakukan investigasi internal untuk menentukan informasi apa yang telah dibobol.

Setelah Mixpanel memiliki lebih banyak kejelasan, secara resmi memberitahu OpenAI pada tanggal 25 Novembermengirimkan kumpulan data yang terpengaruh sehingga perusahaan dapat menilai dampaknya pada pelanggannya sendiri. Baru pada saat itulah OpenAI mulai melakukan referensi silang data, mengidentifikasi akun-akun yang berpotensi terlibat, dan menyiapkan pemberitahuan email yang saat ini diterima ribuan pengguna di seluruh dunia.

OpenAI menegaskan bahwa Tidak ada intrusi ke server, aplikasi, atau database merekaPenyerang tidak mendapatkan akses ke ChatGPT atau sistem internal perusahaan, melainkan ke lingkungan penyedia yang mengumpulkan data analitik. Meskipun demikian, bagi pengguna akhir, konsekuensi praktisnya sama: sebagian data mereka berakhir di tempat yang tidak seharusnya.

Skenario seperti ini termasuk dalam apa yang dikenal dalam dunia keamanan siber sebagai serangan terhadap rantai pasokan digitalAlih-alih menyerang platform utama secara langsung, penjahat menargetkan pihak ketiga yang menangani data dari platform tersebut dan sering kali memiliki kontrol keamanan yang kurang ketat.

Artikel terkait:

Data apa yang dikumpulkan asisten AI dan bagaimana cara melindungi privasi Anda

Pengguna mana yang sebenarnya terkena dampaknya?

Salah satu poin yang paling menimbulkan keraguan adalah siapa yang seharusnya benar-benar khawatir. Mengenai hal ini, OpenAI telah menjelaskan dengan cukup jelas: Kesenjangan ini hanya memengaruhi mereka yang menggunakan API OpenAI melalui Web platform.openai.comYaitu, terutama pengembang, perusahaan, dan organisasi yang mengintegrasikan model perusahaan ke dalam aplikasi dan layanan mereka sendiri.

Pengguna yang hanya menggunakan versi reguler ChatGPT di browser atau aplikasi, untuk pertanyaan sesekali atau tugas pribadi, Mereka tidak akan terkena dampak secara langsung karena insiden tersebut, sebagaimana yang ditegaskan kembali oleh perusahaan dalam semua pernyataannya. Meskipun demikian, demi transparansi, OpenAI memilih untuk mengirimkan email informasi secara luas, yang telah menyebabkan banyak orang yang tidak terlibat merasa khawatir.

Dalam kasus API, biasanya di belakangnya ada proyek profesional, integrasi perusahaan, atau produk komersialHal ini juga berlaku untuk perusahaan-perusahaan Eropa. Menurut informasi yang diberikan, organisasi yang menggunakan penyedia ini mencakup perusahaan teknologi besar dan perusahaan rintisan kecil, yang memperkuat gagasan bahwa setiap pelaku dalam ekosistem digital rentan ketika melakukan alih daya layanan analitik atau pemantauan.

Dari sudut pandang hukum, hal ini relevan bagi pelanggan Eropa karena ini merupakan pelanggaran orang yang bertanggung jawab atas perawatan (Mixpanel) yang menangani data atas nama OpenAI. Hal ini mengharuskan pemberitahuan kepada organisasi yang terdampak dan, jika perlu, otoritas perlindungan data, sesuai dengan peraturan GDPR.

Data apa yang telah bocor dan data apa yang tetap aman

Dari sudut pandang pengguna, pertanyaan besarnya adalah informasi seperti apa yang telah dihilangkan. OpenAI dan Mixpanel sepakat bahwa... data profil dan telemetri dasar, berguna untuk analitik, tetapi tidak untuk konten interaksi dengan AI atau kredensial akses.

Di Antara data yang berpotensi terekspos Elemen-elemen berikut yang terkait dengan akun API ditemukan:

• nama disediakan saat mendaftarkan akun di API.
• Alamat email terkait dengan akun tersebut.
• Perkiraan lokasi (kota, provinsi atau negara bagian, dan negara), disimpulkan dari browser dan alamat IP.
• Sistem operasi dan browser digunakan untuk mengakses platform.openai.com.
• Situs web referensi (perujuk) tempat antarmuka API dijangkau.
• Pengidentifikasi pengguna atau organisasi internal tertaut ke akun API.

Rangkaian alat ini sendiri tidak memungkinkan siapa pun untuk mengendalikan akun atau menjalankan panggilan API atas nama pengguna, tetapi menyediakan profil yang cukup lengkap tentang siapa pengguna tersebut, bagaimana mereka terhubung, dan bagaimana mereka menggunakan layanan. Bagi penyerang yang berspesialisasi dalam rekayasa sosialData ini dapat menjadi emas murni saat menyiapkan email atau pesan yang sangat meyakinkan.

Pada saat yang sama, OpenAI menekankan bahwa ada blok informasi yang belum dikompromikanMenurut perusahaan, mereka tetap aman:

• Percakapan obrolan dengan ChatGPT, termasuk perintah dan respons.
• Permintaan API dan log penggunaan (konten yang dihasilkan, parameter teknis, dll.).
• Kata sandi, kredensial, dan kunci API dari akun.
• Informasi Pembayaran, seperti nomor kartu atau informasi penagihan.
• Dokumen identitas resmi atau informasi sensitif lainnya.

Dengan kata lain, insiden tersebut termasuk dalam lingkup mengidentifikasi dan data kontekstualNamun, hal itu belum menyentuh percakapan dengan AI atau kunci yang memungkinkan pihak ketiga beroperasi langsung pada akun tersebut.

Risiko utama: phishing dan rekayasa sosial

Bahkan jika penyerang tidak memiliki kata sandi atau kunci API, memilikinya nama, alamat email, lokasi, dan pengenal internal memungkinkan untuk meluncurkan kampanye penipuan jauh lebih kredibel. Di sinilah OpenAI dan para pakar keamanan memfokuskan upaya mereka.

Dengan informasi di atas tabel, mudah untuk menyusun pesan yang tampaknya sah: email yang meniru gaya komunikasi OpenAIMereka menyebutkan API, menyebutkan nama pengguna, dan bahkan menyebutkan kota atau negara mereka agar peringatan terdengar lebih nyata. Tidak perlu menyerang infrastruktur jika Anda bisa mengelabui pengguna agar menyerahkan kredensial mereka di situs web palsu.

Skenario yang paling mungkin melibatkan upaya untuk phishing klasik (tautan ke panel manajemen API yang diduga untuk “memverifikasi akun”) dan dengan teknik rekayasa sosial yang lebih rumit yang ditujukan kepada administrator organisasi atau tim TI di perusahaan yang menggunakan API secara intensif.

Di Eropa, poin ini terkait langsung dengan persyaratan GDPR pada minimalisasi dataBeberapa spesialis keamanan siber, seperti tim Keamanan OX yang dikutip di media Eropa, menunjukkan bahwa pengumpulan informasi lebih banyak daripada yang benar-benar diperlukan untuk analisis produk—misalnya, email atau data lokasi terperinci—dapat berbenturan dengan kewajiban untuk membatasi jumlah data yang diproses sebanyak mungkin.

Tanggapan OpenAI: perpisahan dengan Mixpanel dan tinjauan menyeluruh

Setelah OpenAI menerima detail teknis insiden tersebut, mereka mencoba bereaksi secara tegas. Langkah pertama adalah menghapus integrasi Mixpanel sepenuhnya semua layanan produksinya, sehingga penyedia tidak lagi memiliki akses ke data baru yang dihasilkan oleh pengguna.

Pada saat yang sama, perusahaan menyatakan bahwa sedang meninjau secara menyeluruh kumpulan data yang terpengaruh untuk memahami dampak nyata pada setiap akun dan organisasi. Berdasarkan analisis tersebut, mereka mulai memberitahukan secara individual ke administrator, perusahaan, dan pengguna yang muncul dalam kumpulan data yang diekspor oleh penyerang.

OpenAI juga mengklaim telah memulai pemeriksaan keamanan tambahan pada semua sistem mereka dan dengan semua penyedia eksternal lainnya dengan siapa ia bekerja. Tujuannya adalah untuk meningkatkan persyaratan perlindungan, memperkuat klausul kontrak, dan mengaudit secara lebih ketat bagaimana pihak ketiga ini mengumpulkan dan menyimpan informasi.

Perusahaan menekankan dalam komunikasinya bahwa “kepercayaan, keamanan dan privasiIni adalah elemen inti dari misinya. Melampaui retorika, kasus ini menggambarkan bagaimana pelanggaran pada agen yang tampaknya sekunder dapat berdampak langsung pada persepsi keamanan layanan sebesar ChatGPT.

Dampak terhadap pengguna dan bisnis di Spanyol dan Eropa

Dalam konteks Eropa, dimana GDPR dan peraturan khusus AI di masa mendatang Mereka menetapkan standar tinggi untuk perlindungan data, dan insiden seperti ini diteliti dengan saksama. Bagi perusahaan mana pun yang menggunakan API OpenAI dari dalam Uni Eropa, pelanggaran data oleh penyedia analitik bukanlah masalah kecil.

Di satu sisi, pengendali data Eropa yang menjadi bagian dari API harus meninjau penilaian dampak dan catatan aktivitas mereka untuk memeriksa bagaimana penggunaan penyedia seperti Mixpanel dijelaskan dan apakah informasi yang diberikan kepada penggunanya sendiri cukup jelas.

Di sisi lain, terungkapnya email perusahaan, lokasi, dan pengenal organisasi membuka pintu bagi Serangan yang ditargetkan terhadap tim pengembangan, departemen TI, atau manajer proyek AIIni bukan hanya tentang risiko potensial bagi pengguna individu, tetapi juga bagi perusahaan yang mendasarkan proses bisnis pentingnya pada model OpenAI.

Di Spanyol, kesenjangan jenis ini mulai menjadi perhatian Badan Perlindungan Data Spanyol (AEPD) ketika kebocoran tersebut memengaruhi warga negara atau entitas yang berdomisili di wilayah nasional. Jika organisasi terdampak menganggap kebocoran tersebut berisiko terhadap hak dan kebebasan individu, mereka wajib melakukan penilaian dan, jika perlu, juga memberi tahu otoritas yang berwenang.

Tips praktis untuk melindungi akun Anda

Selain penjelasan teknis, banyak pengguna yang ingin tahu Apa yang harus mereka lakukan sekarang?OpenAI menegaskan bahwa mengubah kata sandi tidaklah penting, karena belum ada yang bocor, tetapi sebagian besar pakar menyarankan untuk menerapkan tingkat kehati-hatian ekstra.

Jika Anda menggunakan OpenAI API, atau hanya ingin berada di sisi yang aman, disarankan untuk mengikuti serangkaian langkah dasar yang Mereka secara drastis mengurangi risiko bahwa penyerang mungkin mengeksploitasi data yang bocor:

• Waspadalah terhadap email yang tidak terduga yang mengaku berasal dari OpenAI atau layanan terkait API, terutama jika mereka menyebutkan istilah seperti "verifikasi mendesak", "insiden keamanan", atau "penguncian akun".
• Selalu periksa alamat pengirim dan domain yang dituju tautan tersebut sebelum diklik. Jika ragu, sebaiknya akses secara manual. platform.openai.com mengetik URL ke dalam browser.
• Aktifkan autentikasi multifaktor (MFA/2FA) di akun OpenAI Anda dan layanan sensitif lainnya. Ini adalah penghalang yang sangat efektif bahkan jika seseorang mendapatkan kata sandi Anda melalui penipuan.
• Jangan bagikan kata sandi, kunci API, atau kode verifikasi melalui email, obrolan, atau telepon. OpenAI mengingatkan pengguna bahwa mereka tidak akan pernah meminta data jenis ini melalui saluran yang tidak terverifikasi.
• Nilai ubah kata sandi Anda Jika Anda merupakan pengguna berat API atau jika Anda cenderung menggunakannya kembali di layanan lain, sesuatu yang umumnya sebaiknya dihindari.

Bagi mereka yang bekerja di perusahaan atau mengelola proyek dengan banyak pengembang, ini mungkin saat yang tepat untuk meninjau kebijakan keamanan internalIzin akses API dan prosedur respons insiden, menyelaraskannya dengan rekomendasi tim keamanan siber.

Pelajaran tentang data, pihak ketiga, dan kepercayaan dalam AI

Kebocoran Mixpanel memang terbatas dibandingkan dengan insiden besar lainnya dalam beberapa tahun terakhir, namun hal ini terjadi pada saat Layanan AI generatif telah menjadi hal yang lumrah Hal ini berlaku baik untuk individu maupun perusahaan Eropa. Setiap kali seseorang mendaftar, mengintegrasikan API, atau mengunggah informasi ke alat semacam itu, mereka menempatkan sebagian besar kehidupan digital mereka di tangan pihak ketiga.

Salah satu pelajaran yang dapat dipetik dari kasus ini adalah perlunya meminimalkan data pribadi yang dibagikan dengan penyedia eksternalBeberapa ahli menekankan bahwa, bahkan ketika bekerja dengan perusahaan yang sah dan terkenal, setiap bagian data yang dapat diidentifikasi yang meninggalkan lingkungan utama membuka titik potensi paparan baru.

Hal ini juga menyoroti sejauh mana komunikasi yang transparan Ini kuncinya. OpenAI telah memilih untuk menyediakan informasi yang luas, bahkan mengirimkan email kepada pengguna yang tidak terdampak, yang mungkin menimbulkan kekhawatiran, tetapi pada gilirannya, mengurangi ruang untuk kecurigaan akan kurangnya informasi.

Dalam skenario di mana AI akan terus diintegrasikan ke dalam prosedur administratif, perbankan, kesehatan, pendidikan, dan pekerjaan jarak jauh di seluruh Eropa, insiden seperti ini berfungsi sebagai pengingat bahwa Keamanan tidak hanya bergantung pada penyedia utama.melainkan seluruh jaringan perusahaan di baliknya. Dan, meskipun pelanggaran data tidak melibatkan kata sandi atau percakapan, risiko penipuan tetap sangat nyata jika kebiasaan perlindungan dasar tidak diterapkan.

Segala yang terjadi dengan pelanggaran ChatGPT dan Mixpanel menunjukkan bagaimana kebocoran yang relatif terbatas sekalipun dapat menimbulkan konsekuensi yang signifikan: hal itu memaksa OpenAI untuk memikirkan kembali hubungannya dengan pihak ketiga, mendorong perusahaan dan pengembang Eropa untuk meninjau praktik keamanan mereka, dan mengingatkan pengguna bahwa pertahanan utama mereka terhadap serangan tetaplah tetap mendapatkan informasi. memantau email yang mereka terima dan memperkuat perlindungan akun mereka.

Alberto navarro

Saya seorang penggila teknologi yang telah mengubah minat "geek"-nya menjadi sebuah profesi. Saya telah menghabiskan lebih dari 10 tahun hidup saya menggunakan teknologi mutakhir dan mengutak-atik semua jenis program hanya karena rasa ingin tahu. Sekarang saya memiliki spesialisasi dalam teknologi komputer dan video game. Hal ini karena selama lebih dari 5 tahun saya telah menulis untuk berbagai website tentang teknologi dan video game, membuat artikel yang berupaya memberikan informasi yang Anda butuhkan dalam bahasa yang dapat dimengerti oleh semua orang.

Jika Anda memiliki pertanyaan, pengetahuan saya berkisar dari segala sesuatu yang berhubungan dengan sistem operasi Windows serta Android untuk ponsel. Dan komitmen saya adalah kepada Anda, saya selalu bersedia meluangkan beberapa menit dan membantu Anda menyelesaikan pertanyaan apa pun yang mungkin Anda miliki di dunia internet ini.