Прекршување на податоците на ChatGPT: што се случи со Mixpanel и како тоа влијае на вас

Корисниците на Разговор GPT Во последните неколку часа, тие добија е-пошта што предизвика многу забелешки: OpenAI пријавува повреда на податоци поврзана со неговата API платформаПредупредувањето допре до огромна публика, вклучувајќи ги и луѓето кои не беа директно засегнати, што има предизвика одредена конфузија за вистинскиот обем на инцидентот.

Она што компанијата го потврди е дека имало неовластен пристап до информациите на некои клиентиНо, проблемот не бил со серверите на OpenAI, туку со... Mixpanel, давател на услуги за веб-аналитика од трета страна кој собираше метрики за користење на API интерфејсот во platform.openai.comСепак, случајот го враќа проблемот во преден план. дебата за тоа како се управува со лични податоци во услугите за вештачка интелигенција, исто така во Европа и под капата на RGPD.

Грешка во Mixpanel, не во системите на OpenAI

Како што е наведено во соопштението на OpenAI, инцидентот започнал на Ноември 9кога Mixpanel откри дека напаѓач добил пристап неовластен пристап до дел од неговата инфраструктура и извезе збир на податоци користен за анализа. Во текот на тие недели, продавачот спроведе внатрешна истрага за да утврди кои информации биле компромитирани.

Откако Mixpanel доби поголема јасност, официјално го информираше OpenAI на 25 ноемврииспраќање на засегнатиот збир на податоци за да може компанијата да го процени влијанието врз сопствените клиенти. Дури потоа OpenAI започна со вкрстување на податоците., идентификувајте потенцијално вклучени сметки и подгответе ги известувањата по е-пошта што пристигнуваат деновиве до илјадници корисници низ целиот свет.

OpenAI инсистира на тоа дека Немало упад во нивните сервери, апликации или бази на податоциНапаѓачот не добил пристап до ChatGPT или до внатрешните системи на компанијата, туку до околината на провајдер кој собирал аналитички податоци. Сепак, за крајниот корисник, практичната последица е иста: некои од нивните податоци завршиле таму каде што не требало.

Овие типови сценарија спаѓаат во она што во сајбер-безбедноста е познато како напад врз дигитален синџир на снабдувањеНаместо директно да ја напаѓаат главната платформа, криминалците се насочени кон трета страна која ракува со податоци од таа платформа и честопати има помалку строги безбедносни контроли.

Поврзана статија:

Кои податоци ги собираат асистентите за вештачка интелигенција и како да ја заштитите вашата приватност

Кои корисници всушност биле погодени

Една од точките што предизвикува најголеми сомнежи е кој навистина треба да биде загрижен. Во врска со ова, OpenAI беше доста јасен: Јазот влијае само на оние кои го користат OpenAI API-то. преку мрежата platform.openai.comТоа е, главно програмери, компании и организации кои ги интегрираат моделите на компанијата во нивните сопствени апликации и услуги.

Корисници кои ја користат само редовната верзија на ChatGPT во прелистувачот или апликацијата, за повремени прашања или лични задачи, Тие не би биле директно погодени поради инцидентот, како што компанијата повторува во сите свои изјави. Сепак, заради транспарентност, OpenAI одлучи да ја испрати информативната е-пошта многу широко, што придонесе за алармирање на многу луѓе кои не се вклучени.

Во случајот со API-то, вообичаено е зад него да стои професионални проекти, корпоративни интеграции или комерцијални производиОва важи и за европските компании. Според дадените информации, организациите што го користат овој провајдер вклучуваат и големи технолошки компании и мали стартапи, што ја зајакнува идејата дека секој играч во дигиталниот екосистем е ранлив кога врши аутсорсинг на аналитички или мониторинг услуги.

Од правна гледна точка, за европските клиенти е релевантно дека ова е прекршување на лице задолжено за лекување (Mixpanel) кој обработува податоци во име на OpenAI. Ова бара известување на засегнатите организации и, каде што е соодветно, на органите за заштита на податоци, во согласност со прописите на GDPR.

Кои податоци се протечени, а кои податоци остануваат безбедни

Од перспектива на корисникот, големото прашање е каков вид информации се изоставени. OpenAI и Mixpanel се согласуваат дека тоа е... податоци за профилот и основна телеметрија, корисно за аналитика, но не и за содржината на интеракциите со вештачка интелигенција или пристапните акредитиви.

Помеѓу потенцијално изложени податоци Пронајдени се следните елементи поврзани со API сметките:

• име обезбедено при регистрирање на сметката во API-то.
• E-mail адреса поврзани со таа сметка.
• Приближна локација (град, покраина или држава и земја), изведено од прелистувачот и IP-адресата.
• Оперативен систем и прелистувач се користи за пристап platform.openai.com.
• Референтни веб-страници (реферери) од кои беше достапно API интерфејсот.
• Идентификатори на внатрешен корисник или организација поврзано со API сметката.

Само овој сет алатки не дозволува никому да преземе контрола врз сметка или да извршува API повици во име на корисникот, но обезбедува прилично комплетен профил за тоа кој е корисникот, како се поврзува и како ја користи услугата. За напаѓач специјализиран за социјален инженерингОвие податоци можат да бидат чисто злато при подготовка на исклучително убедливи е-пораки или пораки.

Во исто време, OpenAI нагласува дека постои блок од информации што не е компромитиранСпоред компанијата, тие остануваат безбедни:

• Разговори во разговор со ChatGPT, вклучувајќи инструкции и одговори.
• API барања и логови на користење (генерирана содржина, технички параметри итн.).
• Лозинки, акредитиви и API клучеви на сметките.
• Информации за плаќање, како што се броеви на картички или информации за наплата.
• Официјални документи за идентификација или други особено чувствителни информации.

Со други зборови, инцидентот спаѓа во опсегот на идентификациски и контекстуални податоциНо, тоа не ги допре ниту разговорите со вештачката интелигенција, ниту клучевите што би ѝ дозволиле на трета страна директно да работи на сметките.

Главни ризици: фишинг и социјален инженеринг

Дури и ако напаѓачот нема лозинки или API клучеви, нивното поседување име, е-пошта адреса, локација и внатрешни идентификатори овозможува стартување кампањи за измама многу поверодостојно. Ова е местото каде што OpenAI и експертите за безбедност ги фокусираат своите напори.

Со тие информации на табелата, лесно е да се конструира порака што изгледа легитимна: е-пошта што го имитираат стилот на комуникација на OpenAIТие го споменуваат API-то, го цитираат корисникот по име, па дури и алудираат на неговиот град или земја за да го направат предупредувањето пореално. Нема потреба да ја напаѓате инфраструктурата ако можете да го натерате корисникот да ги предаде своите акредитиви на лажна веб-страница.

Најверојатните сценарија вклучуваат обиди за класичен фишинг (линкови до наводни панели за управување со API за „потврдување на сметката“) и преку посложени техники на социјално инженерство насочени кон администратори на организации или ИТ тимови во компании кои интензивно го користат API-то.

Во Европа, оваа точка е директно поврзана со барањата на GDPR за минимизирање на податоцитеНекои специјалисти за сајбер безбедност, како што е тимот на OX Security цитиран во европските медиуми, истакнуваат дека собирањето повеќе информации отколку што е строго неопходно за аналитика на производи - на пример, е-пошта или детални податоци за локација - може да се судри со обврската за ограничување на количината на обработени податоци колку што е можно повеќе.

Одговорот на OpenAI: прекин со Mixpanel и темелна рецензија

Откако OpenAI ги доби техничките детали за инцидентот, се обиде решително да реагира. Првата мерка беше целосно отстранете ја интеграцијата со Mixpanel на сите свои производствени услуги, така што давателот повеќе нема пристап до нови податоци генерирани од корисниците.

Во исто време, компанијата наведува дека темелно го разгледува засегнатиот збир на податоци да го разберат вистинското влијание врз секоја сметка и организација. Врз основа на таа анализа, тие почнаа да извести поединечно до администратори, компании и корисници што се појавуваат во базата на податоци извезена од напаѓачот.

OpenAI исто така тврди дека започнал дополнителни безбедносни проверки на сите нивни системи и со сите други надворешни добавувачи со кого работи. Целта е да се зголемат барањата за заштита, да се зајакнат договорните клаузули и поригорозно да се ревидира начинот на кој овие трети страни собираат и складираат информации.

Компанијата во своите соопштенија нагласува дека „...доверба, безбедност и приватностОва се централни елементи на нивната мисија. Надвор од реториката, овој случај илустрира како пробив кај навидум секундарен агент може да има директен ефект врз перцепираната безбедност на услуга толку огромна како ChatGPT.

Влијание врз корисниците и бизнисите во Шпанија и Европа

Во европски контекст, каде што GDPR и идните регулативи специфични за вештачката интелигенција Тие поставуваат висока летва за заштита на податоците, а ваквите инциденти се испитуваат. За секоја компанија што го користи OpenAI API од рамките на Европската Унија, повредата на податоци од страна на давател на аналитика не е мала работа.

Од една страна, европските контролори на податоци кои се дел од API ќе мора да ги прегледуваат нивните проценки на влијанието и дневниците на активности да се провери како е опишано користењето на даватели на услуги како Mixpanel и дали информациите што им се доставуваат на нивните сопствени корисници се доволно јасни.

Од друга страна, изложеноста на корпоративни е-пошти, локации и организациски идентификатори отвора врата за Целни напади врз тимови за развој, ИТ оддели или менаџери на проекти за вештачка интелигенцијаОва не се однесува само на потенцијални ризици за индивидуалните корисници, туку и за компаниите што ги базираат критичните деловни процеси на моделите на OpenAI.

Во Шпанија, овој вид јаз доаѓа на радарот на Шпанска агенција за заштита на податоци (AEPD) кога тие влијаат врз жителите на државата или врз субјектите основани на националната територија. Доколку засегнатите организации сметаат дека истекувањето претставува ризик за правата и слободите на поединците, тие се должни да го проценат тоа и, каде што е соодветно, да го известат и надлежниот орган.

Практични совети за заштита на вашата сметка

Освен техничките објаснувања, она што многу корисници сакаат да го знаат е Што треба да направат токму сега?OpenAI инсистира дека промената на лозинката не е од суштинско значење, бидејќи не е протечена, но повеќето експерти препорачуваат примена на дополнителен слој на претпазливост.

Ако го користите OpenAI API-то или едноставно сакате да бидете безбедни, препорачливо е да следите низа основни чекори кои Тие драстично го намалуваат ризикот дека напаѓачот може да ги искористи протечените податоци:

• Бидете внимателни со неочекувани е-пораки кои тврдат дека се од OpenAI или услуги поврзани со API, особено ако споменуваат термини како „итна верификација“, „безбедносен инцидент“ или „заклучување на сметка“.
• Секогаш проверувајте ја адресата на испраќачот и доменот кон кој упатуваат линковите пред да кликнете. Доколку имате какви било сомнежи, најдобро е да пристапите до него рачно. platform.openai.com внесување на URL-то во прелистувачот.
• Овозможи повеќефакторска автентикација (MFA/2FA) на вашата сметка на OpenAI и која било друга чувствителна услуга. Тоа е многу ефикасна бариера дури и ако некој ја добие вашата лозинка преку измама.
• Не споделувајте лозинки, API клучеви или кодови за верификација преку е-пошта, разговор или телефон. OpenAI ги потсетува корисниците дека никогаш нема да бара ваков тип на податоци преку непроверени канали.
• Валора Сменете ја лозинката Ако сте редовен корисник на API-то или ако имате тенденција да го користите повторно во други услуги, нешто што генерално е најдобро да се избегнува.

За оние кои работат од компании или управуваат со проекти со повеќе програмери, ова може да биде добро време да прегледајте ги политиките за внатрешна безбедностДозволи за пристап до API и процедури за одговор на инциденти, усогласувајќи ги со препораките на тимовите за сајбер безбедност.

Лекции за податоци, трети страни и доверба во вештачката интелигенција

Протекувањето на информациите од Mixpanel е ограничено во споредба со другите поголеми инциденти во последните години, но доаѓа во време кога Генеративните услуги за вештачка интелигенција станаа вообичаени Ова важи и за поединци и за европски компании. Секој пат кога некој ќе се регистрира, ќе интегрира API или ќе прикачи информации на таква алатка, тој става значаен дел од својот дигитален живот во рацете на трети страни.

Една од лекциите што ги учи овој случај е потребата да се минимизирајте ги личните податоци споделени со надворешни добавувачиНеколку експерти нагласуваат дека, дури и кога се работи со легитимни и добро познати компании, секој препознатлив дел од податоците што ја напушта главната средина отвора нова потенцијална точка на изложеност.

Исто така, го истакнува степенот до кој транспарентна комуникација Ова е клучно. OpenAI одлучи да обезбеди широк спектар на информации, дури и испраќање е-пошта до незасегнати корисници, што може да предизвика одредена тревога, но, пак, остава помалку простор за сомневање за недостаток на информации.

Во сценарио каде што вештачката интелигенција ќе продолжи да биде интегрирана во административните процедури, банкарството, здравството, образованието и работата од далечина низ цела Европа, ваквите инциденти служат како потсетник дека Безбедноста не зависи само од главниот провајдер.туку на целата мрежа на компании што стојат зад тоа. И дека, дури и ако пробивот на податоци не вклучува лозинки или разговори, ризикот од измама останува многу реален ако не се усвојат основни навики за заштита.

Сè што се случи со пробивањето на ChatGPT и Mixpanel покажува како дури и релативно ограничено протекување може да има значајни последици: го принудува OpenAI да го преиспита својот однос со трети страни, ги поттикнува европските компании и програмери да ги преиспитаат своите безбедносни практики и ги потсетува корисниците дека нивната главна одбрана од напади останува информираноста. да ги следат е-пораките што ги примаат и да ја зајакнат заштитата на нивните сметки.

Алберто Наваро

Јас сум технолошки ентузијаст кој своите „гикови“ интереси ги претвори во професија. Поминав повеќе од 10 години од мојот живот користејќи најсовремена технологија и непречено со сите видови програми од чиста љубопитност. Сега сум специјализиран за компјутерска технологија и видео игри. Тоа е затоа што повеќе од 5 години пишувам за различни веб-локации за технологија и видео игри, создавајќи статии кои се обидуваат да ви ги дадат потребните информации на јазик што е разбирлив за секого.

Ако имате прашања, моето знаење се движи од се што е поврзано со оперативниот систем Виндоус како и Андроид за мобилни телефони. И мојата посветеност е кон вас, јас сум секогаш подготвен да потрошам неколку минути и да ви помогнам да ги решите сите прашања што може да ги имате во овој интернет свет.