ChatGPT datu pārkāpums: kas notika ar Mixpanel un kā tas jūs ietekmē

Lietotājiem ChatGPT Pēdējo stundu laikā viņi ir saņēmuši e-pastu, kas ir uzsvēris ne vienu vien uzaci: OpenAI ziņo par datu noplūdi, kas saistīta ar tā API platformuBrīdinājums ir sasniedzis plašu auditoriju, tostarp cilvēkus, kurus tas tieši neietekmēja. radīja zināmu apjukumu par faktisko incidenta apmēru.

Uzņēmums ir apstiprinājis, ka ir notikusi neatļauta piekļuve daļai klientu informācijasTaču problēma nav bijusi ar OpenAI serveriem, bet gan ar... Mixpanel, trešās puses tīmekļa analīzes pakalpojumu sniedzējs, kas apkopoja API saskarnes lietošanas rādītājus platform.openai.comPat ja tā, šī lieta atkal aktualizē šo jautājumu. diskusijas par to, kā mākslīgā intelekta pakalpojumos tiek pārvaldīti personas dati, arī Eiropā un saskaņā ar RGPD.

Kļūda Mixpanel, nevis OpenAI sistēmās

Kā savā paziņojumā sīki apraksta OpenAI, incidents radies plkst. Novembris 9kad Mixpanel konstatēja, ka uzbrucējs ir ieguvis piekļuvi nesankcionēta piekļuve daļai no tās infrastruktūras un bija eksportējis analīzei izmantotu datu kopu. Šo nedēļu laikā pārdevējs veica iekšēju izmeklēšanu, lai noteiktu, kāda informācija ir bijusi apdraudēta.

Kad Mixpanel ieguva lielāku skaidrību, oficiāli informēja OpenAI 25. novembrīnosūtot skarto datu kopu, lai uzņēmums varētu novērtēt ietekmi uz saviem klientiem. Tikai tad OpenAI sāka savstarpēji atsaukties uz datiem., identificēt potenciāli iesaistītos kontus un sagatavot e-pasta paziņojumus, kas šajās dienās pienāk tūkstošiem lietotāju visā pasaulē.

OpenAI uzstāj, ka Nav notikusi ielaušanās viņu serveros, lietojumprogrammās vai datubāzēs.Uzbrucējs neieguva piekļuvi ChatGPT vai uzņēmuma iekšējām sistēmām, bet gan pakalpojumu sniedzēja videi, kas vāca analītikas datus. Tomēr gala lietotājam praktiskās sekas ir tādas pašas: daļa no viņu datiem ir nonākusi tur, kur tiem nevajadzētu nonākt.

Šāda veida scenāriji ietilpst tā sauktajā kiberdrošības uzbrukumā. digitālā piegādes ķēdeTā vietā, lai tieši uzbruktu galvenajai platformai, noziedznieki vēršas pret trešo pusi, kas apstrādā datus no šīs platformas un kurai bieži vien ir mazāk stingra drošības kontrole.

saistīto rakstu:

Kādus datus vāc mākslīgā intelekta asistenti un kā aizsargāt jūsu privātumu

Kuri lietotāji faktiski ir cietuši

Viens no punktiem, kas rada visvairāk šaubu, ir tas, kam patiesībā vajadzētu uztraukties. Šajā jautājumā OpenAI ir bijis diezgan skaidrs: Šī atšķirība ietekmē tikai tos, kas izmanto OpenAI API. izmantojot Web platform.openai.comTas ir, galvenokārt izstrādātāji, uzņēmumi un organizācijas kas integrē uzņēmuma modeļus savās lietojumprogrammās un pakalpojumos.

Lietotāji, kuri pārlūkprogrammā vai lietotnē izmanto tikai parasto ChatGPT versiju neregulāriem vaicājumiem vai personiskiem uzdevumiem, Viņi nebūtu tieši ietekmēti incidenta dēļ, kā uzņēmums atkārto visos savos paziņojumos. Tomēr pārredzamības labad OpenAI izvēlējās informatīvo e-pastu nosūtīt ļoti plaši, kas ir satraucis daudzus cilvēkus, kuri nav iesaistīti.

API gadījumā parasti aiz tā atrodas profesionāli projekti, korporatīvās integrācijas vai komerciāli produktiTas attiecas arī uz Eiropas uzņēmumiem. Saskaņā ar sniegto informāciju, starp organizācijām, kas izmanto šo pakalpojumu sniedzēju, ir gan lieli tehnoloģiju uzņēmumi, gan mazi jaunuzņēmumi, kas pastiprina domu, ka jebkurš digitālās ekosistēmas dalībnieks ir neaizsargāts, ja analītikas vai uzraudzības pakalpojumi tiek izmantoti ārpakalpojumu veidā.

No juridiskā viedokļa Eiropas klientiem ir svarīgi, lai tas būtu pārkāpums. par ārstēšanu atbildīgā persona (Mixpanel), kas apstrādā datus OpenAI vārdā. Tas prasa informēt attiecīgās organizācijas un, attiecīgā gadījumā, datu aizsardzības iestādes saskaņā ar GDPR noteikumiem.

Kādi dati ir nopludināti un kādi dati joprojām ir drošībā

No lietotāja viedokļa galvenais jautājums ir, kāda veida informācija ir izlaista. OpenAI un Mixpanel piekrīt, ka tā ir... profila dati un pamata telemetrija, noderīgi analītikai, bet ne mijiedarbības ar mākslīgo intelektu vai piekļuves akreditācijas datiem saturam.

Starp potenciāli atklāti dati Ir atrodami šādi ar API kontiem saistīti elementi:

• nosaukums tiek sniegts, reģistrējot kontu API.
• E-pasta adrese saistīts ar šo kontu.
• Aptuvenā atrašanās vieta (pilsēta, province vai štats un valsts), kas secināts no pārlūkprogrammas un IP adreses.
• Operētājsistēma un pārlūkprogramma izmanto, lai piekļūtu platform.openai.com.
• Atsauces tīmekļa vietnes (atsauces), no kurām tika sasniegta API saskarne.
• Iekšējo lietotāju vai organizācijas identifikatori saistīts ar API kontu.

Šis rīku komplekts pats par sevi neļauj nevienam pārņemt konta kontroli vai veikt API izsaukumus lietotāja vārdā, taču tas sniedz diezgan pilnīgu profilu par to, kas ir lietotājs, kā viņš izveido savienojumu un kā viņš izmanto pakalpojumu. Uzbrucējam, kas specializējas sociālā inženierijaŠie dati var būt tīra zelta vērti, sagatavojot ārkārtīgi pārliecinošus e-pastus vai ziņojumus.

Vienlaikus OpenAI uzsver, ka pastāv informācijas bloks, kas nav apdraudētaPēc uzņēmuma teiktā, tie joprojām ir drošībā:

• Tērzēšanas sarunas ar ChatGPT, ieskaitot uzvednes un atbildes.
• API pieprasījumi un lietošanas žurnāli (ģenerētais saturs, tehniskie parametri utt.).
• Paroles, akreditācijas dati un API atslēgas no kontiem.
• Informācija par maksājumiem, piemēram, karšu numurus vai norēķinu informāciju.
• Oficiāli personu apliecinoši dokumenti vai citu īpaši sensitīvu informāciju.

Citiem vārdiem sakot, incidents ietilpst darbības jomā. identificējošie un kontekstuālie datiTaču tas nav skāris ne sarunas ar mākslīgo intelektu, ne atslēgas, kas ļautu trešajai pusei tieši darboties ar kontiem.

Galvenie riski: pikšķerēšana un sociālā inženierija

Pat ja uzbrucējam nav paroļu vai API atslēgu, to esamība vārds, e-pasta adrese, atrašanās vieta un iekšējie identifikatori ļauj palaist krāpšanas kampaņas daudz ticamāk. Tieši šeit OpenAI un drošības eksperti koncentrē savus centienus.

Ar šo informāciju uz galda ir viegli izveidot ziņojumu, kas šķiet likumīgs: e-pasti, kas atdarina OpenAI saziņas stiluViņi piemin API, lietotāju vārdā un pat norāda uz viņa pilsētu vai valsti, lai brīdinājums izklausītos reālāks. Nav nepieciešams uzbrukt infrastruktūrai, ja varat apmānīt lietotāju, lai viņš sniegtu savus akreditācijas datus viltotā vietnē.

Visticamākie scenāriji ietver mēģinājumus klasiskā pikšķerēšana (saites uz it kā paredzētiem API pārvaldības paneļiem “konta verifikācijai”) un ar sarežģītākām sociālās inženierijas metodēm, kas vērstas pret organizāciju administratoriem vai IT komandām uzņēmumos, kuri intensīvi izmanto API.

Eiropā šis punkts ir tieši saistīts ar GDPR prasībām attiecībā uz datu minimizēšanaDaži kiberdrošības speciālisti, piemēram, Eiropas plašsaziņas līdzekļos citētā OX Security komanda, norāda, ka lielākas informācijas vākšana, nekā tas ir absolūti nepieciešams produktu analītikai, piemēram, e-pasta ziņojumi vai detalizēti atrašanās vietas dati, var nonākt pretrunā ar pienākumu pēc iespējas vairāk ierobežot apstrādājamo datu apjomu.

OpenAI atbilde: pārtraukums ar Mixpanel un rūpīga pārskatīšana

Kad OpenAI saņēma incidenta tehnisko informāciju, tā mēģināja reaģēt izlēmīgi. Pirmais pasākums bija pilnībā noņemiet Mixpanel integrāciju visu savu ražošanas pakalpojumu, lai pakalpojumu sniedzējam vairs nebūtu piekļuves lietotāju ģenerētiem jauniem datiem.

Vienlaikus uzņēmums norāda, ka rūpīgi pārskata skarto datu kopu lai izprastu patieso ietekmi uz katru kontu un organizāciju. Pamatojoties uz šo analīzi, viņi ir sākuši paziņot individuāli administratoriem, uzņēmumiem un lietotājiem, kas parādās uzbrucēja eksportētajā datu kopā.

OpenAI arī apgalvo, ka ir sācis papildu drošības pārbaudes visās savās sistēmās un ar visiem citiem ārējiem pakalpojumu sniedzējiem ar kuriem tā strādā. Mērķis ir paaugstināt aizsardzības prasības, stiprināt līgumu klauzulas un stingrāk pārbaudīt, kā šīs trešās puses vāc un glabā informāciju.

Uzņēmums savā komunikācijā uzsver, ka “uzticēšanās, drošība un privātumsŠie ir tās misijas centrālie elementi. Papildus retorikai šis gadījums ilustrē, kā šķietami sekundāra aģenta pārkāpums var tieši ietekmēt tik liela mēroga pakalpojuma kā ChatGPT uztverto drošību.

Ietekme uz lietotājiem un uzņēmumiem Spānijā un Eiropā

Eiropas kontekstā, kur GDPR un turpmākie mākslīgajam intelektam specifiskie noteikumi Viņi nosaka augstu datu aizsardzības latiņu, un šādi incidenti tiek rūpīgi pārbaudīti. Jebkuram uzņēmumam, kas izmanto OpenAI API Eiropas Savienībā, datu noplūde, ko izraisījis analītikas pakalpojumu sniedzējs, nav mazsvarīga lieta.

No vienas puses, Eiropas datu pārziņiem, kas ir daļa no API, būs pārskatīt savus ietekmes novērtējumus un darbību žurnālus lai pārbaudītu, kā ir aprakstīta tādu pakalpojumu sniedzēju kā Mixpanel lietošana un vai informācija, kas sniegta viņu pašu lietotājiem, ir pietiekami skaidra.

No otras puses, korporatīvo e-pasta adrešu, atrašanās vietu un organizācijas identifikatoru publiskošana paver durvis uz Mērķtiecīgi uzbrukumi izstrādes komandām, IT nodaļām vai mākslīgā intelekta projektu vadītājiemTas attiecas ne tikai uz iespējamiem riskiem atsevišķiem lietotājiem, bet arī uzņēmumiem, kas kritiskos biznesa procesus balsta uz OpenAI modeļiem.

Spānijā šāda veida plaisa nonāk uzmanības lokā. Spānijas datu aizsardzības aģentūra (AEPD) ja tie ietekmē valsts iedzīvotājus vai valsts teritorijā dibinātas struktūras. Ja skartās organizācijas uzskata, ka noplūde rada risku personu tiesībām un brīvībām, tām ir pienākums to novērtēt un attiecīgā gadījumā arī paziņot kompetentajai iestādei.

Praktiski padomi konta aizsardzībai

Papildus tehniskajiem skaidrojumiem daudzi lietotāji vēlas zināt, Kas viņiem šobrīd jādara?OpenAI uzstāj, ka paroles maiņa nav nepieciešama, jo informācija par to nav nopludināta, taču vairums ekspertu iesaka ievērot papildu piesardzību.

Ja izmantojat OpenAI API vai vienkārši vēlaties būt drošībā, ieteicams ievērot virkni pamata darbību, kas Tie ievērojami samazina risku ka uzbrucējs varētu izmantot nopludinātos datus:

• Esiet uzmanīgi pret negaidītiem e-pastiem kas apgalvo, ka ir no OpenAI vai ar API saistītiem pakalpojumiem, īpaši, ja tajos minēti tādi termini kā “steidzama verifikācija”, “drošības incidents” vai “konta bloķēšana”.
• Vienmēr pārbaudiet sūtītāja adresi un domēnu, uz kuru norāda saites, pirms noklikšķināšanas. Ja rodas šaubas, vislabāk ir tai piekļūt manuāli. platform.openai.com ierakstot URL pārlūkprogrammā.
• Iespējot daudzfaktoru autentifikāciju (MFA/2FA) jūsu OpenAI kontā un jebkurā citā sensitīvā pakalpojumā. Tā ir ļoti efektīva barjera pat tad, ja kāds iegūst jūsu paroli ar maldināšanas palīdzību.
• Nekopīgojiet paroles, API atslēgas vai verifikācijas kodus pa e-pastu, tērzēšanu vai tālruni. OpenAI atgādina lietotājiem, ka tas nekad nepieprasīs šāda veida datus, izmantojot nepārbaudītus kanālus.
• Vērtība Nomainiet paroli Ja esat biežs API lietotājs vai mēdzat to atkārtoti izmantot citos pakalpojumos, no tā parasti vislabāk izvairīties.

Tiem, kas darbojas uzņēmumos vai pārvalda projektus ar vairākiem izstrādātājiem, šis varētu būt labs laiks, lai pārskatīt iekšējās drošības politikasAPI piekļuves atļaujas un incidentu reaģēšanas procedūras, saskaņojot tās ar kiberdrošības komandu ieteikumiem.

Nodarbības par datiem, trešajām pusēm un uzticēšanos mākslīgajam intelektam

Mixpanel noplūde ir bijusi ierobežota, salīdzinot ar citiem lieliem incidentiem pēdējos gados, taču tā notiek laikā, kad Ģeneratīvie mākslīgā intelekta pakalpojumi ir kļuvuši par ikdienišķu parādību. Tas attiecas gan uz privātpersonām, gan Eiropas uzņēmumiem. Katru reizi, kad kāds reģistrējas, integrē API vai augšupielādē informāciju šādā rīkā, viņš nodod ievērojamu daļu savas digitālās dzīves trešo personu rokās.

Viena no mācībām, ko sniedz šis gadījums, ir nepieciešamība līdz minimumam samazināt personas datu kopīgošanu ar ārējiem pakalpojumu sniedzējiemVvairāki eksperti uzsver, ka pat sadarbojoties ar leģitīmiem un labi pazīstamiem uzņēmumiem, katrs identificējams datu elements, kas pamet galveno vidi, paver jaunu potenciālu iedarbības punktu.

Tajā arī uzsvērts, cik lielā mērā caurspīdīga komunikācija Tas ir svarīgi. OpenAI ir izvēlējies sniegt plašu informāciju, pat nosūtot e-pastus lietotājiem, kurus tas neietekmē, kas var radīt zināmu satraukumu, bet savukārt atstāj mazāk vietas aizdomām par informācijas trūkumu.

Scenārijā, kurā mākslīgais intelekts turpinās integrēties administratīvajās procedūrās, banku darbībā, veselības aprūpē, izglītībā un attālinātajā darbā visā Eiropā, šādi incidenti kalpo kā atgādinājums, ka Drošība nav atkarīga tikai no galvenā pakalpojumu sniedzēja.bet gan visa aiz tā esošo uzņēmumu tīkla. Un ka pat tad, ja datu noplūde neietver paroles vai sarunas, krāpšanas risks joprojām pastāv ļoti reāls, ja netiek ieviesti pamata aizsardzības paradumi.

Viss, kas notika ar ChatGPT un Mixpanel pārkāpumu, parāda, ka pat relatīvi ierobežota noplūde var radīt būtiskas sekas: tā liek OpenAI pārskatīt savas attiecības ar trešajām pusēm, mudina Eiropas uzņēmumus un izstrādātājus pārskatīt savu drošības praksi un atgādina lietotājiem, ka viņu galvenā aizsardzība pret uzbrukumiem joprojām ir informētība. uzraudzīt saņemtos e-pastus un pastiprināt savu kontu aizsardzību.

Alberto navarro

Esmu tehnoloģiju entuziasts, kurš savas "geek" intereses ir pārvērtis profesijā. Es esmu pavadījis vairāk nekā 10 gadus no savas dzīves, izmantojot jaunākās tehnoloģijas un tīri ziņkārības vadīts ar visu veidu programmām. Tagad esmu specializējies datortehnoloģijās un videospēlēs. Tas ir tāpēc, ka vairāk nekā 5 gadus esmu rakstījis dažādām tīmekļa vietnēm par tehnoloģijām un videospēlēm, veidojot rakstus, kuru mērķis ir sniegt jums nepieciešamo informāciju ikvienam saprotamā valodā.

Ja jums ir kādi jautājumi, manas zināšanas svārstās no visa, kas saistīts ar Windows operētājsistēmu, kā arī Android mobilajiem tālruņiem. Un mana apņemšanās ir jums, es vienmēr esmu gatavs veltīt dažas minūtes un palīdzēt jums atrisināt visus jautājumus, kas jums varētu rasties šajā interneta pasaulē.