Gögnaleki í ChatGPT: hvað gerðist með Mixpanel og hvernig það hefur áhrif á þig

Notendur SpjallGPT Á síðustu klukkustundum hafa þau fengið tölvupóst sem hefur vakið meiri en eina athygli: OpenAI tilkynnir um gagnaleka tengda API-kerfi sínu.Viðvörunin hefur náð til stórs hóps, þar á meðal fólks sem varð ekki fyrir beinum áhrifum, sem hefur skapaði nokkra ruglingu um raunverulegt umfang atviksins.

Það sem fyrirtækið hefur staðfest er að það hefur átt sér stað óheimill aðgangur að upplýsingum um suma viðskiptaviniEn vandamálið hefur ekki verið með netþjóna OpenAI, heldur með... Mixpanel, þriðja aðila vefgreiningarþjónustu sem safnaði notkunarmælingum á API-viðmóti í platform.openai.comEngu að síður dregur málið málið aftur fram á yfirborðið. umræða um hvernig persónuupplýsingar eru meðhöndlaðar í gervigreindarþjónustum, einnig í Evrópu og undir verndarvæng RGPD.

Villa í Mixpanel, ekki í kerfum OpenAI

Eins og OpenAI greindi frá í yfirlýsingu sinni átti atvikið sér stað þann Nóvember 9þegar Mixpanel greindi að árásarmaður hefði fengið aðgang óheimill aðgangur að hluta af innviðum þess og hafði flutt út gagnasafn sem notað var til greiningarinnar. Á þessum vikum framkvæmdi söluaðilinn innri rannsókn til að ákvarða hvaða upplýsingar höfðu verið í hættu.

Þegar Mixpanel hafði fengið meiri skýrleika, tilkynnti OpenAI formlega þann 25. nóvemberað senda viðkomandi gagnasafn svo fyrirtækið gæti metið áhrifin á sína eigin viðskiptavini. Þá fyrst byrjaði OpenAI að vísa saman gögnum., bera kennsl á hugsanlega reikninga sem tengjast þessu og undirbúa tölvupósttilkynningar sem berast þessa dagana til þúsunda notenda um allan heim.

OpenAI heldur því fram að Engin innbrot hafa átt sér stað í netþjóna þeirra, forrit eða gagnagrunna.Árásarmaðurinn fékk ekki aðgang að ChatGPT eða innri kerfum fyrirtækisins, heldur að umhverfi þjónustuaðila sem safnaði greiningargögnum. Engu að síður eru afleiðingarnar í reynd þær sömu fyrir notandann: sum gögnin hafa endað þar sem þau áttu ekki að vera.

Þess konar aðstæður falla undir það sem í netöryggismálum er þekkt sem árás á stafræn framboðskeðjaÍ stað þess að ráðast beint á aðalvettvanginn beinast glæpamenn að þriðja aðila sem meðhöndlar gögn af þeim vettvangi og hefur oft ekki eins strangar öryggisráðstafanir.

Tengd grein:

Hvaða gögn safna aðstoðarmenn gervigreindar og hvernig á að vernda friðhelgi þína

Hvaða notendur hafa í raun orðið fyrir áhrifum

Eitt af því sem vekur mesta vafa er hver ætti í raun að hafa áhyggjur af. Í þessu atriði hefur OpenAI verið nokkuð skýr: Bilið hefur aðeins áhrif á þá sem nota OpenAI API í gegnum vefinn platform.openai.comÞað er að segja, aðallega verktaki, fyrirtæki og stofnanir sem samþætta líkön fyrirtækisins í eigin forrit og þjónustu.

Notendur sem nota aðeins venjulega útgáfu af ChatGPT í vafranum eða appinu, fyrir einstaka fyrirspurnir eða persónuleg verkefni, Þau hefðu ekki orðið fyrir beinum áhrifum vegna atviksins, eins og fyrirtækið ítrekar í öllum yfirlýsingum sínum. Engu að síður, til að tryggja gagnsæi, kaus OpenAI að senda upplýsingatölvupóstinn mjög víða, sem hefur stuðlað að því að vekja áhyggjur margra sem ekki eru viðriðnir.

Í tilviki API-sins er algengt að á bak við það sé fagleg verkefni, fyrirtækjasamþættingar eða viðskiptavörurÞetta á einnig við um evrópsk fyrirtæki. Samkvæmt upplýsingunum sem gefnar eru eru meðal þeirra stofnana sem nota þennan þjónustuaðila bæði stór tæknifyrirtæki og lítil sprotafyrirtæki, sem styrkir þá hugmynd að allir aðilar í stafrænu vistkerfi séu viðkvæmir þegar greiningar- eða eftirlitsþjónustu er útvistað.

Frá lagalegu sjónarmiði skiptir það máli fyrir evrópska viðskiptavini að þetta sé brot á ... sá sem hefur umsjón með meðferð (Mixpanel) sem meðhöndlar gögn fyrir hönd OpenAI. Þetta krefst þess að viðkomandi stofnunum og, eftir því sem við á, persónuverndaryfirvöldum sé tilkynnt um þetta, í samræmi við GDPR reglugerðirnar.

Hvaða gögn hafa lekið út og hvaða gögn eru enn örugg

Frá sjónarhóli notandans er stóra spurningin hvers konar upplýsingar hafa verið slepptar. OpenAI og Mixpanel eru sammála um að það sé... prófílgögn og grunn fjarmælingar, gagnlegt fyrir greiningar, en ekki fyrir innihald samskipta við gervigreind eða aðgangsupplýsingar.

Meðal hugsanlega óvarin gögn Eftirfarandi þættir sem tengjast API-reikningum finnast:

• nafn gefið upp þegar reikningurinn er skráður í API-inu.
• Netfang tengt þeim reikningi.
• Áætluð staðsetning (borg, hérað eða fylki og land), ályktað út frá vafranum og IP-tölu.
• Stýrikerfi og vafri notað til að fá aðgang platform.openai.com.
• Tilvísunarvefsíður (tilvísanir) þaðan sem API viðmótið var náð.
• Innri notenda- eða stofnunarauðkenni tengt við API reikninginn.

Þetta verkfærasett eitt og sér gerir engum kleift að taka stjórn á reikningi eða framkvæma API-köll fyrir hönd notanda, en það veitir nokkuð tæmandi upplýsingar um hver notandinn er, hvernig hann tengist og hvernig hann notar þjónustuna. Fyrir árásarmann sem sérhæfir sig í... félagsverkfræðiÞessi gögn geta verið gull að verðleikum þegar kemur að því að útbúa mjög sannfærandi tölvupósta eða skilaboð.

Á sama tíma leggur OpenAI áherslu á að það sé til upplýsingablokk sem hefur ekki verið stefnt í hættuSamkvæmt fyrirtækinu eru þau enn örugg:

• Spjallsamræður með ChatGPT, þar á meðal fyrirmæli og svör.
• API beiðnir og notkunarskrár (framleitt efni, tæknilegar breytur o.s.frv.).
• Lykilorð, innskráningarupplýsingar og API-lyklar af reikningunum.
• Upplýsingar um greiðslu, svo sem kortanúmer eða greiðsluupplýsingar.
• Opinber persónuskilríki eða aðrar sérstaklega viðkvæmar upplýsingar.

Með öðrum orðum, atvikið fellur undir gildissvið skv. auðkenningar- og samhengisgögnEn það hefur hvorki snert samtölin við gervigreind né lyklana sem myndu leyfa þriðja aðila að vinna beint með reikningana.

Helstu áhættur: netveiðar og samfélagsverkfræði

Jafnvel þótt árásaraðilinn hafi ekki lykilorð eða API-lykla, þá er það að hafa þau nafn, netfang, staðsetning og innri auðkenni leyfir ræsingu svikaherferðir miklu trúverðugri. Þetta er þar sem OpenAI og öryggissérfræðingar einbeita sér að kröftum sínum.

Með þessar upplýsingar á borðinu er auðvelt að setja saman skilaboð sem virðast lögmæt: tölvupóstar sem líkja eftir samskiptastíl OpenAIÞeir nefna API-ið, nefna notandann með nafni og jafnvel vísa til borgar eða lands hans til að gera viðvörunina raunverulegri. Það er engin þörf á að ráðast á innviðina ef þú getur blekkt notandann til að afhenda innskráningarupplýsingar sínar á falsaðri vefsíðu.

Líklegustu atburðarásirnar fela í sér tilraunir til að klassískt netveiðar (tenglar á meintar stjórnborð fyrir forritaskil (API) til að „staðfesta reikninginn“) og með ítarlegri félagslegri verkfræðiaðferðum sem beinast að stjórnendum fyrirtækja eða upplýsingatækniteymum í fyrirtækjum sem nota forritaskilin mikið.

Í Evrópu tengist þetta atriði beint kröfum GDPR um gagnalágmörkunSumir sérfræðingar í netöryggi, eins og OX Security teymið sem vitnað er í í evrópskum fjölmiðlum, benda á að söfnun meiri upplýsinga en stranglega nauðsynleg er til vörugreiningar — til dæmis tölvupósta eða nákvæmra staðsetningargagna — geti stangast á við skylduna til að takmarka magn gagna sem unnið er eins mikið og mögulegt er.

Svar OpenAI: hlé með Mixpanel og ítarleg endurskoðun

Þegar OpenAI fékk tæknilegar upplýsingar um atvikið reyndi það að bregðast afgerandi við. Fyrsta aðgerðin var fjarlægðu Mixpanel samþættinguna alveg allrar framleiðsluþjónustu sinnar, þannig að veitandinn hefur ekki lengur aðgang að nýjum gögnum sem notendur búa til.

Jafnframt segir fyrirtækið að er að fara vandlega yfir viðkomandi gagnasafn til að skilja raunveruleg áhrif á hvern reikning og stofnun. Byggt á þeirri greiningu hafa þeir byrjað að tilkynna sérstaklega til stjórnenda, fyrirtækja og notenda sem birtast í gagnasafninu sem árásaraðilinn flutti út.

OpenAI fullyrðir einnig að það hafi hafið viðbótaröryggisathuganir á öllum kerfum þeirra og hjá öllum öðrum utanaðkomandi aðilum með hverjum það vinnur. Markmiðið er að hækka verndarkröfur, styrkja samningsákvæði og endurskoða með meiri nákvæmni hvernig þessir þriðju aðilar safna og geyma upplýsingar.

Fyrirtækið leggur áherslu á í samskiptum sínum að „traust, öryggi og friðhelgi einkalífsÞetta eru lykilþættir í hlutverki þess. Auk orðræðunnar sýnir þetta mál fram á hvernig öryggisbrot í að því er virðist aukaumboðsmanni getur haft bein áhrif á skynjað öryggi þjónustu eins umfangsmikillar og ChatGPT.

Áhrif á notendur og fyrirtæki á Spáni og í Evrópu

Í evrópsku samhengi, þar sem GDPR og framtíðarreglugerðir um gervigreind Þeir setja háar kröfur um gagnavernd og atvik eins og þetta eru rannsökuð. Fyrir öll fyrirtæki sem nota OpenAI API innan Evrópusambandsins er gagnaleki af hálfu greiningaraðila ekki lítið mál.

Annars vegar verða evrópskir gagnaábyrgðaraðilar sem eru hluti af API-inu að fara yfir áhrifamat þeirra og starfsemiskrár að athuga hvernig notkun þjónustuaðila eins og Mixpanel er lýst og hvort upplýsingarnar sem veittar eru notendum þeirra séu nógu skýrar.

Hins vegar opnar afhjúpun netfanga fyrirtækja, staðsetninga og auðkenna fyrirtækja dyrnar að... Markvissar árásir gegn þróunarteymi, upplýsingatæknideildum eða verkefnastjórum gervigreindarÞetta snýst ekki bara um hugsanlega áhættu fyrir einstaka notendur, heldur einnig fyrir fyrirtæki sem byggja mikilvæga viðskiptaferla á OpenAI líkönum.

Á Spáni er þessi tegund af bili að koma á ratsjána hjá Spænska persónuverndarstofnunin (AEPD) þegar þau hafa áhrif á íbúa eða aðila sem hafa staðfestu á yfirráðasvæði landsins. Ef viðkomandi stofnanir telja að lekinn feli í sér áhættu fyrir réttindi og frelsi einstaklinga eru þær skyldugar til að meta það og, eftir því sem við á, einnig tilkynna það lögbærum yfirvöldum.

Hagnýt ráð til að vernda reikninginn þinn

Fyrir utan tæknilegar útskýringar vilja margir notendur vita Hvað þurfa þeir að gera núna?OpenAI fullyrðir að það sé ekki nauðsynlegt að breyta lykilorðinu, þar sem það hefur ekki lekið út, en flestir sérfræðingar mæla með því að gæta sérstakrar varúðar.

Ef þú notar OpenAI API, eða vilt einfaldlega vera á öruggri hlið, er ráðlegt að fylgja nokkrum grunnskrefum sem... Þau draga verulega úr áhættunni að árásaraðili gæti nýtt sér lekið gögn:

• Verið á varðbergi gagnvart óvæntum tölvupóstum sem segjast vera frá OpenAI eða API-tengdum þjónustum, sérstaklega ef þau nefna hugtök eins og „brýn staðfesting“, „öryggisatvik“ eða „lokun reiknings“.
• Athugaðu alltaf heimilisfang sendanda og lénið sem tenglarnir vísa á áður en smellt er á þá. Ef þú ert í vafa er best að opna það handvirkt. platform.openai.com að slá inn slóðina í vafrann.
• Virkja fjölþátta auðkenningu (MFA/2FA) á OpenAI reikningnum þínum og öðrum viðkvæmum þjónustum. Þetta er mjög áhrifarík hindrun jafnvel þótt einhver komist yfir lykilorðið þitt með blekkingum.
• Ekki deila lykilorðum, API-lyklum eða staðfestingarkóðum í gegnum tölvupóst, spjall eða síma. OpenAI minnir notendur á að það muni aldrei biðja um þess konar gögn í gegnum óstaðfestar rásir.
• Gildi breyttu lykilorðinu þínu Ef þú ert mikill notandi API-sins eða ef þú hefur tilhneigingu til að endurnýta það í öðrum þjónustum, þá er þetta almennt best að forðast.

Fyrir þá sem starfa hjá fyrirtækjum eða stjórna verkefnum með mörgum forriturum gæti þetta verið góður tími til að endurskoða innri öryggisstefnuAðgangsheimildir fyrir API og verklagsreglur við atvikum, í samræmi við ráðleggingar netöryggisteymanna.

Lærdómur um gögn, þriðja aðila og traust á gervigreind

Lekinn frá Mixpanel hefur verið takmarkaður samanborið við önnur stór atvik á undanförnum árum, en hann kemur á þeim tíma þegar Kynslóðatengd gervigreindarþjónusta er orðin algeng Þetta á við bæði um einstaklinga og evrópsk fyrirtæki. Í hvert skipti sem einhver skráir sig, samþættir API eða hleður upp upplýsingum í slíkt tól, þá er viðkomandi að setja verulegan hluta af stafrænu lífi sínu í hendur þriðja aðila.

Einn af lærdómunum sem þetta mál kennir er nauðsyn þess að lágmarka persónuupplýsingar sem deilt er með utanaðkomandi aðilumNokkrir sérfræðingar leggja áherslu á að jafnvel þegar unnið er með lögmætum og þekktum fyrirtækjum, þá opni hver einasta greinanleg gagnaeining sem yfirgefur aðalumhverfið nýjan möguleika á útsetningu.

Það undirstrikar einnig í hvaða mæli gagnsæ samskipti Þetta er lykilatriði. OpenAI hefur kosið að veita víðtækar upplýsingar, jafnvel með því að senda tölvupóst til óáreittra notenda, sem getur valdið einhverjum áhyggjum en aftur á móti minni möguleika á grunsemdum um upplýsingaskort.

Í aðstæðum þar sem gervigreind verður áfram samþætt stjórnsýsluferlum, bankastarfsemi, heilbrigðisþjónustu, menntun og fjarvinnu um alla Evrópu, þá eru atvik eins og þessi áminning um að... Öryggi er ekki eingöngu háð aðalveitunni.heldur öllu fyrirtækjanetinu sem stendur að baki því. Og að jafnvel þótt gagnalekið feli ekki í sér lykilorð eða samtöl, þá er hætta á svikum enn mjög raunveruleg ef grunnverndarvenjur eru ekki teknar upp.

Allt sem gerðist í tengslum við árásirnar á ChatGPT og Mixpanel sýnir hvernig jafnvel tiltölulega takmarkaður leki getur haft verulegar afleiðingar: hann neyðir OpenAI til að endurhugsa samband sitt við þriðja aðila, hvetur evrópsk fyrirtæki og forritara til að endurskoða öryggisvenjur sínar og minnir notendur á að aðalvörn þeirra gegn árásum er enn að vera upplýstir. fylgjast með tölvupósti sem þeir fá og styrkja vernd reikninga sinna.

Alberto navarro

Ég er tækniáhugamaður sem hefur breytt "nörda" áhugamálum sínum í fag. Ég hef eytt meira en 10 árum af lífi mínu í að nota háþróaða tækni og fikta í alls kyns forritum af einskærri forvitni. Nú hef ég sérhæft mig í tölvutækni og tölvuleikjum. Þetta er vegna þess að í meira en 5 ár hef ég skrifað fyrir ýmsar vefsíður um tækni og tölvuleiki, búið til greinar sem leitast við að veita þér þær upplýsingar sem þú þarft á tungumáli sem er skiljanlegt fyrir alla.

Ef þú hefur einhverjar spurningar þá nær þekking mín frá öllu sem tengist Windows stýrikerfinu sem og Android fyrir farsíma. Og skuldbinding mín er til þín, ég er alltaf tilbúin að eyða nokkrum mínútum og hjálpa þér að leysa allar spurningar sem þú gætir haft í þessum internetheimi.