ChatGPT 데이터 침해: Mixpanel에서 발생한 사건과 귀하에게 미치는 영향

사용자는 ChatGPT 지난 몇 시간 동안 그들은 많은 사람을 놀라게 한 이메일을 받았습니다. OpenAI, API 플랫폼과 관련된 데이터 침해 보고이 경고는 직접적인 영향을 받지 않은 사람들을 포함하여 광범위한 청중에게 전달되었습니다. 약간의 혼란을 야기했다 사건의 실제 범위에 대해서.

회사가 확인한 것은 다음과 같습니다. 일부 고객 정보에 대한 무단 접근하지만 문제는 OpenAI의 서버가 아니라... MixpanelAPI 인터페이스 사용 지표를 수집한 제3자 웹 분석 제공업체 platform.openai.com그럼에도 불구하고 이 사건은 이 문제를 다시 전면으로 부각시켰습니다. 인공지능 서비스에서 개인정보가 어떻게 관리되는지에 대한 논의, 또한 유럽에서 그리고 다음의 산하에서 RGPD.

OpenAI 시스템이 아닌 Mixpanel의 버그

OpenAI가 성명에서 자세히 설명한 대로 이 사건은 다음에서 시작되었습니다. 11월 9Mixpanel이 공격자가 액세스 권한을 얻었음을 감지했을 때 인프라 일부에 대한 무단 액세스 분석에 사용된 데이터 세트를 내보냈습니다. 해당 업체는 몇 주 동안 어떤 정보가 유출되었는지 확인하기 위해 내부 조사를 실시했습니다.

Mixpanel이 더 명확해지자 11월 25일에 OpenAI에 공식적으로 통보됨영향을 받은 데이터 세트를 보내 회사가 자사 고객에게 미치는 영향을 평가할 수 있도록 했습니다. 그때서야 OpenAI는 데이터 교차 참조를 시작했습니다., 잠재적으로 연루된 계정을 파악하고 요즘 전 세계 수천 명의 사용자에게 도착하는 이메일 알림을 준비합니다.

OpenAI는 다음과 같이 주장합니다. 서버, 애플리케이션 또는 데이터베이스에 대한 침입이 없었습니다.공격자는 ChatGPT나 회사 내부 시스템에는 접근하지 못했지만, 분석 데이터를 수집하는 공급업체의 환경에는 접근했습니다. 그럼에도 불구하고 최종 사용자에게 실질적인 결과는 동일합니다. 즉, 일부 데이터가 의도치 않은 곳에 유출된 것입니다.

이러한 유형의 시나리오는 사이버 보안에서 공격으로 알려진 것에 속합니다. 디지털 공급망범죄자들은 ​​주요 플랫폼을 직접 공격하는 대신, 해당 플랫폼의 데이터를 처리하고 보안 통제가 덜 엄격한 제3자를 표적으로 삼습니다.

실제로 영향을 받은 사용자는 누구입니까?

가장 큰 의구심을 불러일으키는 부분 중 하나는 누가 진정으로 우려해야 하는가입니다. 이 점에 대해 OpenAI는 매우 명확하게 밝혔습니다. 이 격차는 OpenAI API를 사용하는 사람들에게만 영향을 미칩니다. 웹을 통해 platform.openai.com즉, 주로 개발자, 회사 및 조직 회사의 모델을 자사의 애플리케이션과 서비스에 통합합니다.

브라우저나 앱에서 ChatGPT의 일반 버전만 사용하여 가끔씩 질문하거나 개인적인 작업을 하는 사용자 그들은 직접적인 영향을 받지 않았을 것이다 회사가 모든 성명에서 반복했듯이, 이 사건으로 인해 발생한 일입니다. 그럼에도 불구하고, OpenAI는 투명성을 위해 정보성 이메일을 매우 광범위하게 발송했고, 이는 관련되지 않은 많은 사람들에게 불안감을 안겨주었습니다.

API의 경우 그 뒤에는 다음과 같은 것이 있는 것이 일반적입니다. 전문 프로젝트, 기업 통합 또는 상용 제품이는 유럽 기업에도 적용됩니다. 제공된 정보에 따르면, 이 공급업체를 이용하는 조직에는 대형 기술 기업과 소규모 스타트업이 모두 포함되어 있으며, 이는 디지털 생태계의 모든 참여자가 분석 또는 모니터링 서비스를 아웃소싱할 때 취약할 수 있다는 점을 다시 한번 강조합니다.

법적 관점에서 볼 때 이는 유럽 고객에게 위반이라는 점이 중요합니다. 치료 담당자 (Mixpanel)은 OpenAI를 대신하여 데이터를 처리합니다. 이를 위해서는 GDPR 규정에 따라 영향을 받는 조직과 필요한 경우 데이터 보호 기관에 통보해야 합니다.

어떤 데이터가 유출되었고 어떤 데이터가 안전하게 보호되고 있는가

사용자 관점에서 가장 큰 의문은 어떤 정보가 누락되었는가입니다. OpenAI와 Mixpanel은 이것이...라는 데 동의합니다. 프로필 데이터 및 기본 원격 측정분석에는 유용하지만 AI와의 상호작용 내용이나 액세스 자격 증명에는 유용하지 않습니다.

중 잠재적으로 노출된 데이터 API 계정과 관련된 요소는 다음과 같습니다.

• 이름 API에 계정을 등록할 때 제공됩니다.
• 이메일 주소 해당 계정과 연관됨.
• 대략적인 위치 (도시, 도 또는 주, 국가)는 브라우저와 IP 주소에서 추론됩니다.
• 운영체제 및 브라우저 접근하는 데 사용됨 platform.openai.com.
• 참고 웹사이트 API 인터페이스에 도달한 (참조자)
• 내부 사용자 또는 조직 식별자 API 계정에 연결됨.

이 도구 세트만으로는 누구도 계정을 제어하거나 사용자를 대신하여 API 호출을 실행할 수 없지만, 사용자가 누구인지, 어떻게 연결하고 서비스를 어떻게 사용하는지에 대한 상당히 완전한 프로필을 제공합니다. 사회 공학이러한 데이터는 매우 설득력 있는 이메일이나 메시지를 준비할 때 귀중한 자산이 될 수 있습니다.

동시에 OpenAI는 정보 블록이 있다는 점을 강조합니다. 손상되지 않았습니다회사 측에 따르면, 그들은 여전히 ​​안전하다고 합니다.

• 채팅 대화 ChatGPT를 사용하여 프롬프트와 응답을 포함합니다.
• API 요청 및 사용 로그 (생성된 콘텐츠, 기술적 매개변수 등).
• 비밀번호, 자격 증명 및 API 키 계정의.
• 결제 정보예를 들어 카드 번호나 청구 정보 등입니다.
• 공식 신분증 또는 기타 특히 민감한 정보.

즉, 해당 사건은 다음 범위에 해당합니다. 식별 및 맥락적 데이터하지만 AI와의 대화나 제3자가 계정을 직접 운영할 수 있는 키에 대해서는 언급하지 않았습니다.

주요 위험: 피싱 및 소셜 엔지니어링

공격자가 비밀번호나 API 키를 가지고 있지 않더라도 이름, 이메일 주소, 위치 및 내부 식별자 시작할 수 있습니다 사기 캠페인 훨씬 더 신뢰할 수 있습니다. OpenAI와 보안 전문가들이 이 부분에 집중하고 있습니다.

이러한 정보를 바탕으로 정당해 보이는 메시지를 쉽게 구성할 수 있습니다. OpenAI의 커뮤니케이션 스타일을 모방한 이메일API를 언급하고, 사용자 이름을 언급하고, 심지어 알림이 더 현실적으로 들리도록 사용자의 도시나 국가를 암시하기도 합니다. 가짜 웹사이트에서 사용자를 속여 자격 증명을 제공하게 할 수 있다면 인프라를 공격할 필요가 없습니다.

가장 가능성 있는 시나리오에는 다음과 같은 시도가 포함됩니다. 고전적인 피싱 (계정 확인을 위한 API 관리 패널로의 링크) 및 API를 집중적으로 사용하는 기업의 조직이나 IT 팀 관리자를 대상으로 하는 보다 정교한 소셜 엔지니어링 기술.

유럽에서는 이 지점이 GDPR 요구 사항과 직접 연결됩니다. 데이터 최소화유럽 ​​언론에 인용된 OX Security 팀 등 일부 사이버 보안 전문가들은 제품 분석에 꼭 필요한 것보다 많은 정보(예: 이메일이나 자세한 위치 데이터)를 수집하는 것은 처리되는 데이터 양을 최대한 제한해야 하는 의무와 충돌할 수 있다고 지적합니다.

OpenAI의 대응: Mixpanel과의 단절과 철저한 검토

OpenAI는 사고의 기술적 세부 사항을 접수한 후 단호하게 대응하려고 시도했습니다. 첫 번째 조치는 다음과 같습니다. Mixpanel 통합을 완전히 제거합니다 모든 생산 서비스의 중단으로 인해 공급자는 더 이상 사용자가 생성한 새로운 데이터에 액세스할 수 없게 됩니다.

동시에 회사는 다음과 같이 말합니다. 영향을 받은 데이터 세트를 철저히 검토하고 있습니다. 각 계정과 조직에 미치는 실제 영향을 파악하기 위해. 해당 분석을 기반으로 개별적으로 통지하다 공격자가 내보낸 데이터 세트에 나타나는 관리자, 회사 및 사용자에게 표시됩니다.

OpenAI는 또한 자신이 시작했다고 주장합니다. 모든 시스템과 모든 외부 공급업체에 대한 추가 보안 검사 협력하는 기관. 목표는 보호 요건을 강화하고, 계약 조항을 강화하며, 제3자가 정보를 수집하고 저장하는 방식을 더욱 엄격하게 감사하는 것입니다.

회사는 커뮤니케이션에서 "신뢰, 보안 및 개인 정보 보호이것들은 그들의 임무의 핵심 요소입니다. 수사적인 표현을 넘어, 이 사례는 겉보기에 보조적인 에이전트의 침해가 ChatGPT처럼 대규모 서비스의 보안에 직접적인 영향을 미칠 수 있음을 보여줍니다.

스페인과 유럽의 사용자와 기업에 미치는 영향

유럽의 맥락에서, GDPR 및 향후 AI 관련 규정 그들은 데이터 보호에 대한 높은 기준을 설정했으며, 이러한 사고는 면밀히 조사됩니다. 유럽 연합 내에서 OpenAI API를 사용하는 모든 기업에게 분석 제공업체의 데이터 침해는 결코 사소한 문제가 아닙니다.

한편, API에 속한 유럽 데이터 컨트롤러는 다음을 수행해야 합니다. 영향 평가 및 활동 로그를 검토합니다. Mixpanel과 같은 서비스 제공자의 사용 방법이 어떻게 설명되어 있는지, 그리고 해당 서비스 제공자가 사용자에게 제공하는 정보가 충분히 명확한지 확인하세요.

반면, 기업 이메일, 위치 및 조직 식별자가 노출되면 다음과 같은 문제가 발생할 수 있습니다. 개발팀, IT 부서 또는 AI 프로젝트 관리자를 대상으로 한 표적 공격이는 개별 사용자에게 발생할 수 있는 잠재적 위험에 관한 것일 뿐만 아니라, OpenAI 모델을 기반으로 중요한 비즈니스 프로세스를 진행하는 회사에도 해당됩니다.

스페인에서는 이러한 유형의 격차가 레이더에 나타나고 있습니다. 스페인 데이터 보호 기관(AEPD) 해당 유출이 국내 거주 시민이나 국내에 설립된 단체에 영향을 미치는 경우. 영향을 받는 기관은 유출이 개인의 권리와 자유에 위험을 초래한다고 판단하는 경우, 이를 평가하고, 필요한 경우 관할 기관에 신고해야 합니다.

계정을 보호하기 위한 실용적인 팁

기술적인 설명을 넘어 많은 사용자가 알고 싶어하는 것은 다음과 같습니다. 그들은 지금 무엇을 해야 하나요?OpenAI는 비밀번호가 유출되지 않았으므로 비밀번호 변경은 필수적이지 않다고 주장하지만, 대부분 전문가는 더욱 주의를 기울일 것을 권고합니다.

OpenAI API를 사용하거나 단순히 안전을 원할 경우 다음과 같은 기본 단계를 따르는 것이 좋습니다. 그들은 위험을 극적으로 줄입니다 공격자가 유출된 데이터를 악용할 수 있다는 점:

• 예상치 못한 이메일에 주의하세요 OpenAI 또는 API 관련 서비스에서 나온 것이라고 주장하는 경우, 특히 "긴급 검증", "보안 사고" 또는 "계정 잠금"과 같은 용어를 언급하는 경우.
• 항상 발신자 주소를 확인하세요 그리고 클릭하기 전에 링크가 가리키는 도메인을 확인하세요. 의심스러운 부분이 있으면 직접 확인해 보는 것이 가장 좋습니다. platform.openai.com 브라우저에 URL을 입력합니다.
• 다중 요소 인증(MFA/2FA) 활성화 OpenAI 계정 및 기타 민감한 서비스에도 적용됩니다. 누군가 속임수를 써서 비밀번호를 알아내더라도 매우 효과적인 방어막이 됩니다.
• 비밀번호, API 키 또는 인증 코드를 공유하지 마십시오. 이메일, 채팅 또는 전화를 통해. OpenAI는 검증되지 않은 채널을 통해 이러한 유형의 데이터를 절대 요청하지 않을 것이라고 사용자에게 상기시킵니다.
• 값 비밀번호 변경 API를 많이 사용하거나 다른 서비스에서 재사용하는 경향이 있는 경우 일반적으로 피하는 것이 가장 좋습니다.

회사에서 운영하거나 여러 개발자와 함께 프로젝트를 관리하는 경우 이는 좋은 시기일 수 있습니다. 내부 보안 정책 검토API 접근 권한과 사고 대응 절차를 사이버 보안 팀의 권장 사항에 맞춰 조정합니다.

데이터, 제3자 및 AI 신뢰에 대한 교훈

Mixpanel 유출 사건은 최근 몇 년 동안 다른 주요 사건에 비해 제한적이었지만, 생성형 AI 서비스가 보편화되었습니다. 이는 개인과 유럽 기업 모두에게 적용됩니다. 누군가 등록하거나, API를 통합하거나, 이러한 도구에 정보를 업로드할 때마다 디지털 라이프의 상당 부분을 제3자에게 맡기는 셈입니다.

이 사례에서 배울 수 있는 교훈 중 하나는 다음과 같은 필요성입니다. 외부 공급업체와 공유되는 개인 데이터를 최소화합니다.여러 전문가는 합법적이고 잘 알려진 회사와 협력하는 경우에도 주요 환경을 벗어나는 식별 가능한 모든 데이터는 새로운 잠재적 노출 지점을 열어준다고 강조합니다.

또한 그것은 그 정도를 강조합니다. 투명한 의사소통 이것이 핵심입니다. OpenAI는 광범위한 정보를 제공하기로 했고, 영향을 받지 않은 사용자에게도 이메일을 발송했습니다. 이는 우려를 불러일으킬 수 있지만, 결과적으로 정보 부족에 대한 의심의 여지를 줄여줍니다.

AI가 유럽 전역의 행정 절차, 은행, 의료, 교육 및 원격 작업에 계속 통합되는 시나리오에서 이와 같은 사건은 다음과 같은 사실을 상기시켜줍니다. 보안은 주요 공급업체에만 의존하지 않습니다.오히려 그 배후에 있는 기업들의 전체 네트워크가 문제입니다. 그리고 데이터 유출에 비밀번호나 대화 내용이 포함되지 않더라도, 기본적인 보안 습관을 갖추지 않으면 사기 위험은 여전히 ​​매우 현실적입니다.

ChatGPT와 Mixpanel 침해 사건에서 일어난 모든 일은 비교적 제한된 유출이라도 중대한 결과를 초래할 수 있음을 보여줍니다. 이 사건으로 인해 OpenAI는 제3자와의 관계를 재고해야 했고, 유럽 기업과 개발자는 보안 관행을 검토해야 했으며, 사용자에게는 공격에 대한 주요 방어 수단은 정보를 얻는 것이라는 사실을 상기시켰습니다. 수신하는 이메일을 모니터링하고 계정 보호를 강화합니다..