ChatGPT деректерінің бұзылуы: Mixpanel-мен не болды және ол сізге қалай әсер етеді

Соңғы жаңарту: 28/11/2025
автор: Альберто Наварро

  • Бұзушылық OpenAI жүйелерінде емес, сыртқы аналитика провайдері Mixpanel-де болды.
  • Тек platform.openai.com сайтында API қолданатын пайдаланушылар, негізінен әзірлеушілер мен компаниялар зардап шекті.
  • Сәйкестендіру және техникалық деректер ашылды, бірақ чаттар, құпия сөздер, API кілттері немесе төлем ақпараты емес.
  • OpenAI Mixpanel-пен байланысын үзді, оның барлық провайдерлерін тексеріп жатыр және фишингке қарсы қосымша сақтық шараларын қолдануды ұсынады.
OpenAI Mixpanel қауіпсіздігін бұзу

Пайдаланушылар GPT чат Соңғы бірнеше сағат ішінде олар бір емес бірнеше қасты көтерген электрондық хат алды: OpenAI өзінің API платформасына байланысты деректердің бұзылуы туралы хабарлайдыЕскерту жаппай аудиторияға, соның ішінде тікелей әсер етпеген адамдарға жетті біраз түсінбеушілік тудырды оқиғаның нақты ауқымы туралы.

Компания растаған нәрсе болды кейбір тұтынушылардың ақпаратына рұқсатсыз кіруБірақ мәселе OpenAI серверлерінде емес, бірақ... Mixpanel, API интерфейсін пайдалану көрсеткіштерін жинаған үшінші тарап веб-аналитика провайдері platform.openai.comСолай бола тұрса да, бұл іс мәселені қайтадан алға тартады. жасанды интеллект қызметтерінде жеке деректер қалай басқарылатыны туралы пікірталас, сонымен қатар Еуропада және қолшатыр астында RGPD.

OpenAI жүйелерінде емес, Mixpanel-дегі қате

Mixpanel және ChatGPT қатесі

OpenAI мәлімдемесінде егжей-тегжейлі айтылғандай, оқиға басталған күні болды 9 жаңалықMixpanel шабуылдаушы рұқсат алғанын анықтаған кезде оның инфрақұрылымының бір бөлігіне рұқсатсыз кіру және талдау үшін пайдаланылатын деректер жиынын экспорттады. Осы апталарда сатушы қандай ақпараттың бұзылғанын анықтау үшін ішкі тергеу жүргізді.

Mixpanel анық болғаннан кейін, 25 қарашада OpenAI-ге ресми түрде хабарладыкомпания өз тұтынушыларына әсерін бағалай алуы үшін зардап шеккен деректер жинағын жіберу. Содан кейін ғана OpenAI деректерге сілтеме жасай бастады, ықтимал тартылған тіркелгілерді анықтаңыз және осы күндері бүкіл әлем бойынша мыңдаған пайдаланушыларға келетін электрондық пошта хабарландыруларын дайындаңыз.

OpenAI мұны талап етеді Олардың серверлеріне, қолданбаларына немесе дерекқорларына ешқандай басып кіру болған жоқШабуылдаушы ChatGPT немесе компанияның ішкі жүйелеріне емес, аналитикалық деректерді жинайтын провайдердің ортасына қол жеткізді. Осыған қарамастан, соңғы пайдаланушы үшін практикалық нәтиже бірдей: олардың кейбір деректері болмауы керек жерде аяқталды.

Сценарийлердің бұл түрлері киберқауіпсіздікке шабуыл ретінде белгілі нәрсеге жатады сандық жеткізу тізбегіҚылмыскерлер негізгі платформаға тікелей шабуыл жасаудың орнына, сол платформадағы деректерді өңдейтін және көбінесе қауіпсіздікті бақылаудың қатаңдығы аз болатын үшінші тарапты нысанаға алады.

AI көмекшілері қандай деректерді жинайды және сіздің жеке өміріңізді қалай қорғауға болады
Тиісті мақала:
AI көмекшілері қандай деректерді жинайды және сіздің жеке өміріңізді қалай қорғауға болады

Қандай пайдаланушылар шынымен әсер етті

chatgpt деректерінің бұзылуы

Ең көп күмән тудыратын мәселелердің бірі - кім шынымен алаңдауы керек. Бұл мәселеде OpenAI анық болды: Алшақтық тек OpenAI API пайдаланатындарға әсер етеді веб арқылы platform.openai.comЯғни, негізінен әзірлеушілер, компаниялар мен ұйымдар компанияның үлгілерін өздерінің қолданбалары мен қызметтеріне біріктіретін.

Кездейсоқ сұраулар немесе жеке тапсырмалар үшін шолғышта немесе қолданбада ChatGPT әдеттегі нұсқасын ғана пайдаланатын пайдаланушылар, Оларға тікелей әсер етпес еді оқиғаға байланысты, компания өзінің барлық мәлімдемелерінде қайталайды. Осыған қарамастан, ашықтық үшін OpenAI ақпараттық электрондық поштаны өте кең түрде жіберуді таңдады, бұл қатысы жоқ көптеген адамдарды алаңдатуға ықпал етті.

Эксклюзивті мазмұн - Мұнда басыңыз  Microsoft Discovery AI жекелендірілген жасанды интеллект арқылы ғылыми және білім беру саласындағы жетістіктерге жетелейді

API жағдайында, оның артында әдеттегідей кәсіби жобалар, корпоративтік интеграциялар немесе коммерциялық өнімдерБұл еуропалық компанияларға да қатысты. Берілген ақпаратқа сәйкес, осы провайдерді пайдаланатын ұйымдарға ірі технологиялық компаниялар да, шағын стартаптар да кіреді, бұл цифрлық экожүйедегі кез келген ойыншы аналитика немесе мониторинг қызметтерін аутсорсинг кезінде осал деген идеяны күшейтеді.

Заң тұрғысынан алғанда, еуропалық тұтынушылар үшін бұл а емдеуге жауапты адам OpenAI атынан деректерді өңдейтін (Mixpanel). Бұл GDPR ережелеріне сәйкес зардап шеккен ұйымдарды және қажет болған жағдайда деректерді қорғау органдарын хабардар етуді талап етеді.

Қандай деректер ағып кетті және қандай деректер қауіпсіз болып қалады

Пайдаланушының көзқарасы бойынша, қандай ақпарат қалдырылды деген үлкен мәселе. OpenAI және Mixpanel бұл ... профильдік деректер және негізгі телеметрия, аналитика үшін пайдалы, бірақ AI немесе кіру тіркелгі деректерімен өзара әрекеттесу мазмұны үшін емес.

Арасында ықтимал деректер API тіркелгілеріне қатысты келесі элементтер табылды:

  • ат тіркелгіні API жүйесінде тіркеу кезінде беріледі.
  • Электрондық пошта мекенжайы сол есептік жазбамен байланысты.
  • Шамамен орналасқан жері (қала, провинция немесе штат және ел) шолғыш пен IP мекенжайынан алынған.
  • Операциялық жүйе және браузер қол жеткізу үшін пайдаланылады platform.openai.com.
  • Анықтамалық веб-сайттар API интерфейсіне қол жеткізілген (сілтемешілер).
  • Ішкі пайдаланушы немесе ұйым идентификаторлары API тіркелгісіне байланысты.

Бұл құралдар жиынтығы ешкімге тіркелгіні басқаруға немесе пайдаланушы атынан API қоңырауларын орындауға мүмкіндік бермейді, бірақ ол пайдаланушының кім екендігі, олардың қалай қосылатыны және қызметті қалай пайдаланатыны туралы толық профильді қамтамасыз етеді. Мамандандырылған шабуылдаушы үшін әлеуметтік инженерияБұл деректер өте сенімді электрондық хаттарды немесе хабарламаларды дайындаған кезде таза алтын болуы мүмкін.

Сонымен қатар, OpenAI ақпарат блогы бар екенін атап көрсетеді ымыраға келмедіКомпанияның айтуынша, олар қауіпсіз:

  • Чат сұхбаттары ChatGPT көмегімен, оның ішінде сұраулар мен жауаптар.
  • API сұраулары және пайдалану журналдары (генерацияланған мазмұн, техникалық параметрлер және т.б.).
  • Құпия сөздер, тіркелгі деректері және API кілттері шоттардың.
  • Төлем туралы ақпарат, мысалы, карта нөмірлері немесе төлем ақпараты.
  • Жеке басын куәландыратын ресми құжаттар немесе басқа да аса құпия ақпарат.

Басқаша айтқанда, оқиға ауқымына жатады анықтау және контекстік деректерБірақ ол AI-мен сөйлесулерге де, үшінші тарапқа тіркелгілермен тікелей жұмыс істеуге мүмкіндік беретін кілттерге де әсер етпеді.

Негізгі тәуекелдер: фишинг және әлеуметтік инженерия

Фишинг қалай жұмыс істейді

Шабуылдаушыда парольдер немесе API кілттері болмаса да, олар бар аты, электрондық пошта мекенжайы, орналасқан жері және ішкі идентификаторлар іске қосуға мүмкіндік береді алаяқтық науқандары әлдеқайда сенімді. Міне, OpenAI және қауіпсіздік сарапшылары күш-жігерін жұмылдырады.

Кестедегі осы ақпарат арқылы заңды болып көрінетін хабарламаны құру оңай: OpenAI байланыс стиліне ұқсайтын электрондық пошталарОлар API туралы айтады, пайдаланушыны атымен атайды, тіпті ескертуді шынайы ету үшін олардың қаласын немесе елін меңзейді. Пайдаланушыны жалған веб-сайтта тіркелгі деректерін беру үшін алдап алсаңыз, инфрақұрылымға шабуыл жасаудың қажеті жоқ.

Эксклюзивті мазмұн - Мұнда басыңыз  WiFi паролін қалай бұзуға болады

Ең ықтимал сценарийлер әрекетті қамтиды классикалық фишинг («есептік жазбаны тексеру» үшін болжалды API басқару тақталарына сілтемелер) және API интенсивті пайдаланатын компаниялардағы ұйымдардың әкімшілеріне немесе АТ командаларына бағытталған әлеуметтік инженерия әдістері арқылы.

Еуропада бұл тармақ GDPR талаптарына тікелей байланысты деректерді азайтуЕуропалық бұқаралық ақпарат құралдарында келтірілген OX Security тобы сияқты кейбір киберқауіпсіздік мамандары өнімді талдау үшін қажет болғаннан көп ақпаратты жинау (мысалы, электрондық пошталар немесе егжей-тегжейлі орын деректері) өңделетін деректер көлемін мүмкіндігінше шектеу міндеттемесіне қайшы келуі мүмкін екенін атап көрсетеді.

OpenAI жауабы: Mixpanel-пен үзіліс және мұқият шолу

OpenAI Public Benefit Corporation-9 болып өзгереді

OpenAI оқиғаның техникалық мәліметтерін алғаннан кейін, ол батыл әрекет етуге тырысты. Бірінші шара болды Mixpanel интеграциясын толығымен алып тастаңыз провайдер пайдаланушылар жасаған жаңа деректерге енді қол жеткізе алмайтындай етіп, оның барлық өндірістік қызметтерін қамтиды.

Бұл ретте компания бұл туралы хабарлайды зардап шеккен деректер жинағын мұқият тексереді әрбір тіркелгі мен ұйымға нақты әсер етуді түсіну. Сол талдаудың негізінде олар жасай бастады жеке хабарлау шабуылдаушы экспорттаған деректер жиынында пайда болатын әкімшілерге, компанияларға және пайдаланушыларға.

OpenAI да оның басталғанын мәлімдейді олардың барлық жүйелерінде және барлық басқа сыртқы провайдерлерде қосымша қауіпсіздік тексерулері кіммен жұмыс істейді. Мақсат - қорғау талаптарын көтеру, келісім-шарттық тармақтарды күшейту және осы үшінші тараптардың ақпаратты жинау және сақтау жолын мұқият тексеру.

Компания өз хабарламаларында «сенім, қауіпсіздік және құпиялылықБұл оның миссиясының орталық элементтері. Риторикадан басқа, бұл оқиға екінші реттік агенттегі бұзушылық ChatGPT сияқты ауқымды қызметтің қабылданатын қауіпсіздігіне қалай тікелей әсер етуі мүмкін екенін көрсетеді.

Испания мен Еуропадағы пайдаланушылар мен бизнеске әсері

Еуропалық контексте, онда GDPR және болашақ AI-ға тән ережелер Олар деректерді қорғау үшін жоғары жолақ қояды және мұндай оқиғалар мұқият тексеріледі. Еуропалық Одақ ішінде OpenAI API қолданатын кез келген компания үшін аналитикалық провайдер деректердің бұзылуы аз мәселе емес.

Бір жағынан, API бөлігі болып табылатын еуропалық деректер контроллері қажет болады олардың әсерін бағалау және әрекет журналдарын қарап шығыңыз Mixpanel сияқты провайдерлерді пайдалану қалай сипатталғанын және олардың жеке пайдаланушыларына берілген ақпарат жеткілікті анық екенін тексеру.

Екінші жағынан, корпоративтік электрондық пошталардың, орындардың және ұйымдық идентификаторлардың ашылуы мыналарға есік ашады. Әзірлеу топтарына, АТ бөлімшелеріне немесе AI жоба менеджерлеріне бағытталған мақсатты шабуылдарБұл жеке пайдаланушылар үшін әлеуетті тәуекелдер туралы ғана емес, сонымен қатар маңызды бизнес процестерін OpenAI үлгілеріне негіздейтін компаниялар үшін де.

Испанияда мұндай алшақтық радарға түседі Испанияның деректерді қорғау агенттігі (AEPD) олар резидент азаматтарға немесе ұлттық аумақта құрылған заңды тұлғаларға әсер еткенде. Егер зардап шеккен ұйымдар ақпараттың шығуы адамдардың құқықтары мен бостандықтарына қауіп төндіреді деп есептесе, олар оны бағалауға және қажет болған жағдайда құзыретті органға хабарлауға міндетті.

Тіркелгіңізді қорғауға арналған практикалық кеңестер

құпиялылықты қалай қорғауға болады

Техникалық түсініктемелерден басқа, көптеген пайдаланушылар білгісі келетін нәрсе Олар дәл қазір не істеуі керек?OpenAI құпия сөзді өзгерту маңызды емес екенін айтады, өйткені ол сыртқа шығарылмаған, бірақ сарапшылардың көпшілігі қосымша сақтық деңгейін қолдануды ұсынады.

Эксклюзивті мазмұн - Мұнда басыңыз  Басқа құрылғылардағы Google есептік жазбасынан қалай шығуға болады

Егер сіз OpenAI API қолдансаңыз немесе жай ғана қауіпсіз жақта болғыңыз келсе, келесі негізгі қадамдарды орындаған жөн. Олар тәуекелді күрт төмендетеді шабуылдаушы ағып кеткен деректерді пайдалануы мүмкін:

  • Күтпеген хаттардан сақ болыңыз олар OpenAI немесе API-қа қатысты қызметтерден деп мәлімдейді, әсіресе оларда «шұғыл тексеру», «қауіпсіздік оқиғасы» немесе «есептік жазбаны бұғаттау» сияқты терминдер айтылса.
  • Әрқашан жіберушінің мекенжайын тексеріңіз басудан бұрын сілтемелер көрсететін домен. Егер сізде күмән болса, оған қолмен қол жеткізген дұрыс. platform.openai.com URL мекенжайын шолғышқа теріңіз.
  • Көп факторлы аутентификацияны қосу (MFA/2FA) OpenAI тіркелгіңізде және кез келген басқа құпия қызметте. Тіпті біреу сіздің құпия сөзіңізді алдау арқылы алса да, бұл өте тиімді тосқауыл.
  • Құпия сөздерді, API кілттерін немесе растау кодтарын бөліспеңіз электрондық пошта, чат немесе телефон арқылы. OpenAI пайдаланушыларға расталмаған арналар арқылы мұндай деректер түрін ешқашан сұрамайтынын еске салады.
  • Валора құпия сөзіңізді өзгертіңіз Егер сіз API-ның ауыр пайдаланушысы болсаңыз немесе оны басқа қызметтерде қайта пайдалануға бейім болсаңыз, әдетте бұл нәрседен аулақ болу керек.

Компаниялардан жұмыс істейтін немесе бірнеше әзірлеушілері бар жобаларды басқаратындар үшін бұл жақсы уақыт болуы мүмкін ішкі қауіпсіздік саясатын қайта қарауAPI рұқсаттары және оқиғаларға жауап беру процедуралары, оларды киберқауіпсіздік топтарының ұсыныстарымен сәйкестендіреді.

Деректер, үшінші тараптар және AI-ға сенім туралы сабақтар

Микспанелдің ағуы соңғы жылдардағы басқа ірі оқиғалармен салыстырғанда шектеулі болды, бірақ бұл Генеративті AI қызметтері әдеттегідей болды Бұл жеке тұлғаларға да, еуропалық компанияларға да қатысты. Біреу тіркеген, API біріктірген немесе осындай құралға ақпаратты жүктеген сайын, олар цифрлық өмірінің маңызды бөлігін үшінші тараптардың қолына береді.

Бұл жағдайдың үйрететін сабақтарының бірі - қажеттілік сыртқы провайдерлермен ортақ жеке деректерді барынша азайтуКейбір сарапшылар заңды және танымал компаниялармен жұмыс істегенде де, негізгі ортаны қалдыратын әрбір анықталатын деректер бөлігі жаңа ықтимал әсер ету нүктесін ашатынын атап өтеді.

Ол сондай-ақ қандай дәрежеде екенін көрсетеді ашық байланыс Бұл кілт. OpenAI кең ақпаратпен қамтамасыз етуді таңдады, тіпті әсер етпеген пайдаланушыларға электрондық хаттар жібереді, бұл кейбір дабыл тудыруы мүмкін, бірақ өз кезегінде ақпараттың жетіспеушілігіне күдіктенуге аз орын қалдырады.

AI әкімшілік процедураларға, банктік, денсаулық сақтау, білім беру және Еуропадағы қашықтан жұмыс істеуді жалғастыратын сценарийде мұндай оқиғалар мынаны еске салады: Қауіпсіздік тек негізгі провайдерге байланысты емес.керісінше, оның артында тұрған барлық компаниялар желісі. Және бұл, тіпті егер деректерді бұзу құпия сөздерді немесе сөйлесулерді қамтымаса, негізгі қорғау әдеттер қабылданбаса, алаяқтық қаупі өте шынайы болып қала береді.

ChatGPT және Mixpanel бұзылыстарымен болған оқиғаның бәрі салыстырмалы түрде шектеулі ағып кетудің айтарлықтай салдары болуы мүмкін екенін көрсетеді: ол OpenAI-ді үшінші тараптармен қарым-қатынасын қайта қарауға мәжбүр етеді, еуропалық компаниялар мен әзірлеушілерді өздерінің қауіпсіздік тәжірибелерін қайта қарауға итермелейді және пайдаланушыларға шабуылдарға қарсы негізгі қорғанысы хабардар болып қала беретінін еске салады. олар алатын электрондық хаттарды қадағалаңыз және олардың тіркелгілерін қорғауды күшейтіңіз.