Pelanggaran data di ChatGPT dan Mixpanel: apa yang berlaku

Pelanggaran itu bukan dalam sistem OpenAI, tetapi dalam Mixpanel, penyedia analisis luaran.
Hanya pengguna yang menggunakan API di platform.openai.com telah terjejas, terutamanya pembangun dan syarikat.
Mengenal pasti dan data teknikal telah didedahkan, tetapi bukan sembang, kata laluan, kunci API atau maklumat pembayaran.
OpenAI telah memutuskan hubungan dengan Mixpanel, sedang menyemak semua penyedianya dan mengesyorkan mengambil langkah berjaga-jaga tambahan terhadap pancingan data.

Pengguna SembangGPT Dalam beberapa jam yang lalu, mereka telah menerima e-mel yang telah menimbulkan lebih daripada satu kening: OpenAI melaporkan pelanggaran data yang dikaitkan dengan platform APInyaAmaran itu telah mencapai khalayak besar-besaran, termasuk orang yang tidak terjejas secara langsung, yang telah menimbulkan sedikit kekeliruan tentang skop sebenar kejadian.

Apa yang telah disahkan oleh syarikat ialah terdapat a akses tanpa kebenaran kepada beberapa maklumat pelangganTetapi masalahnya bukan dengan pelayan OpenAI, tetapi dengan... Mixpanel, penyedia analitis web pihak ketiga yang mengumpulkan metrik penggunaan antara muka API dalam platform.openai.comWalaupun begitu, kes itu membawa isu itu kembali ke hadapan. perdebatan tentang bagaimana data peribadi diuruskan dalam perkhidmatan kecerdasan buatan, juga di Eropah dan di bawah payung RGPD.

Pepijat dalam Mixpanel, bukan dalam sistem OpenAI

Kegagalan Mixpanel dan ChatGPT

Seperti yang diperincikan oleh OpenAI dalam kenyataannya, insiden itu bermula pada November 9apabila Mixpanel mengesan bahawa penyerang telah mendapat akses akses tanpa kebenaran kepada sebahagian daripada infrastrukturnya dan telah mengeksport set data yang digunakan untuk analisis. Sepanjang minggu tersebut, vendor menjalankan penyiasatan dalaman untuk menentukan maklumat yang telah dikompromi.

Setelah Mixpanel mempunyai lebih jelas, dimaklumkan secara rasmi OpenAI pada 25 Novembermenghantar set data yang terjejas supaya syarikat boleh menilai kesan ke atas pelanggannya sendiri. Barulah OpenAI memulakan data rujukan silang, kenal pasti akaun yang berpotensi terlibat dan sediakan pemberitahuan e-mel yang tiba hari ini kepada beribu-ribu pengguna di seluruh dunia.

OpenAI menegaskan bahawa Tiada pencerobohan ke dalam pelayan, aplikasi atau pangkalan data merekaPenyerang tidak mendapat akses kepada ChatGPT atau sistem dalaman syarikat, sebaliknya kepada persekitaran penyedia yang sedang mengumpul data analitik. Walaupun begitu, untuk pengguna akhir, akibat praktikal adalah sama: beberapa data mereka telah berakhir di tempat yang tidak sepatutnya.

Jenis senario ini termasuk dalam apa yang dikenali dalam keselamatan siber sebagai serangan ke atas rantaian bekalan digitalDaripada menyerang platform utama secara langsung, penjenayah menyasarkan pihak ketiga yang mengendalikan data daripada platform tersebut dan selalunya mempunyai kawalan keselamatan yang kurang ketat.

artikel berkaitan:

Apakah data yang dikumpul oleh pembantu AI dan cara melindungi privasi anda

Pengguna mana yang sebenarnya telah terjejas

pelanggaran data chatgpt

Salah satu perkara yang paling menimbulkan keraguan ialah siapa yang benar-benar perlu dibimbangkan. Mengenai perkara ini, OpenAI telah cukup jelas: Jurang hanya memberi kesan kepada mereka yang menggunakan API OpenAI melalui Web platform.openai.comIaitu, terutamanya pemaju, syarikat dan organisasi yang menyepadukan model syarikat ke dalam aplikasi dan perkhidmatan mereka sendiri.

Pengguna yang hanya menggunakan versi biasa ChatGPT dalam penyemak imbas atau apl, untuk pertanyaan sekali-sekala atau tugas peribadi, Mereka tidak akan terjejas secara langsung kerana kejadian itu, seperti yang dinyatakan oleh syarikat itu dalam semua kenyataannya. Walaupun begitu, demi ketelusan, OpenAI memilih untuk menghantar e-mel maklumat secara meluas, yang telah menyumbang kepada membimbangkan ramai orang yang tidak terlibat.

Kandungan eksklusif - Klik Di Sini Bagaimana untuk mentafsir nombor tersembunyi

Dalam kes API, biasalah di belakangnya ada projek profesional, integrasi korporat atau produk komersialIni juga terpakai kepada syarikat Eropah. Menurut maklumat yang diberikan, organisasi yang menggunakan penyedia ini termasuk kedua-dua syarikat teknologi besar dan syarikat permulaan kecil, mengukuhkan idea bahawa mana-mana pemain dalam ekosistem digital terdedah apabila menggunakan perkhidmatan analisis atau pemantauan penyumberan luar.

Dari sudut pandangan undang-undang, adalah relevan untuk pelanggan Eropah bahawa ini adalah pelanggaran dalam a orang yang bertanggungjawab dalam rawatan (Panel Campuran) yang mengendalikan data bagi pihak OpenAI. Ini memerlukan pemberitahuan kepada organisasi yang terjejas dan, jika sesuai, pihak berkuasa perlindungan data, mengikut peraturan GDPR.

Data apa yang telah dibocorkan dan data apa yang kekal selamat

Dari perspektif pengguna, persoalan besar ialah jenis maklumat yang telah ditinggalkan. OpenAI dan Mixpanel bersetuju bahawa ia adalah... data profil dan telemetri asas, berguna untuk analitis, tetapi bukan untuk kandungan interaksi dengan AI atau kelayakan akses.

Antara data yang berpotensi terdedah Elemen berikut yang berkaitan dengan akaun API ditemui:

nama disediakan semasa mendaftar akaun dalam API.
Alamat email dikaitkan dengan akaun itu.
Anggaran lokasi (bandar, wilayah atau negeri, dan negara), disimpulkan daripada pelayar dan alamat IP.
Sistem pengendalian dan pelayar digunakan untuk mengakses platform.openai.com.
Laman web rujukan (perujuk) dari mana antara muka API dicapai.
Pengecam pengguna atau organisasi dalaman dipautkan ke akaun API.

Set alat ini sahaja tidak membenarkan sesiapa sahaja mengawal akaun atau melaksanakan panggilan API bagi pihak pengguna, tetapi ia memberikan profil yang agak lengkap tentang siapa pengguna itu, cara mereka berhubung dan cara mereka menggunakan perkhidmatan tersebut. Untuk penyerang yang pakar dalam Kejuruteraan sosialData ini boleh menjadi emas tulen apabila menyediakan e-mel atau mesej yang sangat meyakinkan.

Pada masa yang sama, OpenAI menekankan bahawa terdapat blok maklumat yang tidak dikompromiMenurut syarikat itu, mereka kekal selamat:

Sembang perbualan dengan ChatGPT, termasuk gesaan dan respons.
Permintaan API dan log penggunaan (kandungan yang dijana, parameter teknikal, dsb.).
Kata laluan, bukti kelayakan dan kunci API daripada akaun tersebut.
Maklumat Pembayaran, seperti nombor kad atau maklumat pengebilan.
Dokumen pengenalan rasmi atau maklumat lain yang sangat sensitif.

Dalam erti kata lain, kejadian itu termasuk dalam skop mengenal pasti dan data kontekstualTetapi ia tidak menyentuh sama ada perbualan dengan AI atau kunci yang membolehkan pihak ketiga beroperasi secara langsung pada akaun.

Risiko utama: pancingan data dan kejuruteraan sosial

Cara pancingan data berfungsi

Walaupun penyerang tidak mempunyai kata laluan atau kunci API, memilikinya nama, alamat e-mel, lokasi dan pengecam dalaman membolehkan untuk dilancarkan kempen penipuan jauh lebih boleh dipercayai. Di sinilah OpenAI dan pakar keselamatan menumpukan usaha mereka.

Dengan maklumat tersebut di atas meja, mudah untuk membina mesej yang kelihatan sah: e-mel yang meniru gaya komunikasi OpenAIMereka menyebut API, memetik nama pengguna dan juga merujuk kepada bandar atau negara mereka untuk menjadikan amaran berbunyi lebih nyata. Tidak perlu menyerang infrastruktur jika anda boleh menipu pengguna untuk menyerahkan kelayakan mereka di tapak web palsu.

Kandungan eksklusif - Klik Di Sini Bagaimana untuk memintas iPhone 5s iCloud Lock?

Senario yang paling mungkin melibatkan percubaan untuk pancingan data klasik (pautan ke panel pengurusan API yang dikatakan untuk "mengesahkan akaun") dan dengan teknik kejuruteraan sosial yang lebih terperinci yang ditujukan kepada pentadbir organisasi atau pasukan IT dalam syarikat yang menggunakan API secara intensif.

Di Eropah, perkara ini dikaitkan secara langsung dengan keperluan GDPR pada pengecilan dataSesetengah pakar keselamatan siber, seperti pasukan OX Security yang dipetik dalam media Eropah, menunjukkan bahawa mengumpul lebih banyak maklumat daripada yang diperlukan untuk analisis produk—contohnya, e-mel atau data lokasi terperinci—boleh bercanggah dengan kewajipan untuk mengehadkan jumlah data yang diproses sebanyak mungkin.

Respons OpenAI: rehat dengan Mixpanel dan semakan menyeluruh

Sebaik sahaja OpenAI menerima butiran teknikal kejadian itu, ia cuba bertindak balas dengan tegas. Langkah pertama ialah keluarkan sepenuhnya integrasi Mixpanel semua perkhidmatan pengeluarannya, supaya pembekal tidak lagi mempunyai akses kepada data baharu yang dijana oleh pengguna.

Pada masa yang sama, syarikat itu menyatakan bahawa sedang menyemak dengan teliti set data yang terjejas untuk memahami kesan sebenar pada setiap akaun dan organisasi. Berdasarkan analisis itu, mereka telah mula maklumkan secara individu kepada pentadbir, syarikat dan pengguna yang muncul dalam set data yang dieksport oleh penyerang.

OpenAI juga mendakwa bahawa ia telah bermula semakan keselamatan tambahan pada semua sistem mereka dan dengan semua pembekal luaran yang lain dengan siapa ia berfungsi. Matlamatnya adalah untuk meningkatkan keperluan perlindungan, mengukuhkan klausa kontrak, dan mengaudit cara pihak ketiga ini mengumpul dan menyimpan maklumat dengan lebih teliti.

Syarikat itu menekankan dalam komunikasinya bahawa “kepercayaan, keselamatan dan privasiIni adalah elemen utama misinya. Di sebalik retorik, kes ini menggambarkan bagaimana pelanggaran dalam ejen yang kelihatan sekunder boleh memberi kesan langsung ke atas persepsi keselamatan perkhidmatan yang besar seperti ChatGPT.

Kesan kepada pengguna dan perniagaan di Sepanyol dan Eropah

Dalam konteks Eropah, di mana GDPR dan peraturan khusus AI masa hadapan Mereka menetapkan bar yang tinggi untuk perlindungan data, dan insiden seperti ini diteliti. Bagi mana-mana syarikat yang menggunakan API OpenAI dari dalam Kesatuan Eropah, pelanggaran data oleh pembekal analitik bukanlah perkara kecil.

Di satu pihak, pengawal data Eropah yang merupakan sebahagian daripada API perlu melakukannya semak penilaian impak dan log aktiviti mereka untuk menyemak cara penggunaan penyedia seperti Mixpanel diterangkan dan sama ada maklumat yang diberikan kepada pengguna mereka sendiri cukup jelas.

Sebaliknya, pendedahan e-mel korporat, lokasi dan pengecam organisasi membuka pintu kepada Serangan disasarkan terhadap pasukan pembangunan, jabatan IT atau pengurus projek AIIni bukan sahaja mengenai potensi risiko untuk pengguna individu, tetapi juga untuk syarikat yang mendasarkan proses perniagaan kritikal pada model OpenAI.

Di Sepanyol, jurang jenis ini akan masuk ke radar Agensi Perlindungan Data Sepanyol (AEPD) apabila ia menjejaskan warganegara pemastautin atau entiti yang ditubuhkan di wilayah negara. Jika organisasi yang terjejas menganggap bahawa kebocoran itu menimbulkan risiko kepada hak dan kebebasan individu, mereka bertanggungjawab untuk menilainya dan, jika sesuai, juga memaklumkan pihak berkuasa yang berwibawa.

Petua praktikal untuk melindungi akaun anda

Di luar penjelasan teknikal, perkara yang ingin diketahui oleh ramai pengguna ialah Apa yang mereka perlu buat sekarang?OpenAI menegaskan bahawa menukar kata laluan tidak penting, kerana ia tidak bocor, tetapi kebanyakan pakar mengesyorkan menggunakan lapisan berhati-hati tambahan.

Kandungan eksklusif - Klik Di Sini Bagaimanakah saya boleh berkenalan dengan pelayan ProtonVPN?

Jika anda menggunakan API OpenAI, atau hanya ingin berada di pihak yang selamat, anda dinasihatkan untuk mengikuti satu siri langkah asas yang Mereka secara drastik mengurangkan risiko bahawa penyerang mungkin mengeksploitasi data yang bocor:

Berhati-hati dengan e-mel yang tidak dijangka yang mendakwa daripada perkhidmatan OpenAI atau berkaitan API, terutamanya jika mereka menyebut istilah seperti "pengesahan segera", "insiden keselamatan" atau "kunci akaun".
Sentiasa semak alamat pengirim dan domain yang dituju oleh pautan sebelum mengklik. Jika anda mempunyai sebarang keraguan, lebih baik untuk mengaksesnya secara manual. platform.openai.com menaip URL ke dalam penyemak imbas.
Dayakan pengesahan berbilang faktor (MFA/2FA) pada akaun OpenAI anda dan mana-mana perkhidmatan sensitif lain. Ia adalah penghalang yang sangat berkesan walaupun seseorang mendapatkan kata laluan anda melalui penipuan.
Jangan kongsi kata laluan, kunci API atau kod pengesahan melalui e-mel, sembang atau telefon. OpenAI mengingatkan pengguna bahawa ia tidak akan meminta jenis data ini melalui saluran yang tidak disahkan.
Nilai tukar kata laluan anda Jika anda seorang pengguna berat API atau jika anda cenderung untuk menggunakannya semula dalam perkhidmatan lain, sesuatu yang biasanya paling baik dielakkan.

Bagi mereka yang beroperasi daripada syarikat atau mengurus projek dengan berbilang pembangun, ini mungkin masa yang sesuai untuk menyemak dasar keselamatan dalamanKebenaran akses API dan prosedur tindak balas insiden, menyelaraskannya dengan pengesyoran pasukan keselamatan siber.

Pelajaran tentang data, pihak ketiga dan kepercayaan terhadap AI

Kebocoran Mixpanel telah terhad berbanding dengan insiden besar lain dalam beberapa tahun kebelakangan ini, tetapi ia berlaku pada masa apabila Perkhidmatan AI Generatif telah menjadi perkara biasa Ini terpakai kepada kedua-dua individu dan syarikat Eropah. Setiap kali seseorang mendaftar, menyepadukan API atau memuat naik maklumat ke alat sedemikian, mereka meletakkan sebahagian besar kehidupan digital mereka di tangan pihak ketiga.

Salah satu pengajaran yang diajar oleh kes ini ialah keperluan untuk meminimumkan data peribadi yang dikongsi dengan pembekal luarBeberapa pakar menekankan bahawa, walaupun ketika bekerja dengan syarikat yang sah dan terkenal, setiap sekeping data yang boleh dikenal pasti yang meninggalkan persekitaran utama membuka titik pendedahan yang berpotensi baharu.

Ia juga menyerlahkan sejauh mana komunikasi yang telus Ini adalah kunci. OpenAI telah memilih untuk menyediakan maklumat yang luas, malah menghantar e-mel kepada pengguna yang tidak terjejas, yang mungkin menyebabkan beberapa penggera tetapi, seterusnya, meninggalkan ruang yang kurang untuk mengesyaki kekurangan maklumat.

Dalam senario di mana AI akan terus disepadukan ke dalam prosedur pentadbiran, perbankan, kesihatan, pendidikan dan kerja jauh di seluruh Eropah, insiden seperti ini berfungsi sebagai peringatan bahawa Keselamatan tidak bergantung semata-mata pada pembekal utama.melainkan keseluruhan rangkaian syarikat di belakangnya. Dan itu, walaupun pelanggaran data tidak termasuk kata laluan atau perbualan, risiko penipuan kekal sangat nyata jika tabiat perlindungan asas tidak diterima pakai.

Semua yang berlaku dengan pelanggaran ChatGPT dan Mixpanel menunjukkan bagaimana kebocoran yang agak terhad boleh membawa akibat yang ketara: ia memaksa OpenAI untuk memikirkan semula hubungannya dengan pihak ketiga, mendorong syarikat dan pembangun Eropah untuk menyemak amalan keselamatan mereka, dan mengingatkan pengguna bahawa pertahanan utama mereka terhadap serangan kekal dimaklumkan. memantau e-mel yang mereka terima dan mengukuhkan perlindungan akaun mereka.

Alberto navarro

Saya seorang peminat teknologi yang telah menjadikan minat "geek"nya sebagai satu profesion. Saya telah menghabiskan lebih daripada 10 tahun hidup saya menggunakan teknologi canggih dan bermain-main dengan semua jenis program kerana rasa ingin tahu yang tulen. Sekarang saya mempunyai pakar dalam teknologi komputer dan permainan video. Ini kerana selama lebih daripada 5 tahun saya telah menulis untuk pelbagai laman web mengenai teknologi dan permainan video, mencipta artikel yang bertujuan untuk memberi anda maklumat yang anda perlukan dalam bahasa yang boleh difahami oleh semua orang.

Jika anda mempunyai sebarang soalan, pengetahuan saya merangkumi semua perkara yang berkaitan dengan sistem pengendalian Windows serta Android untuk telefon mudah alih. Dan komitmen saya adalah kepada anda, saya sentiasa bersedia untuk meluangkan masa beberapa minit dan membantu anda menyelesaikan sebarang soalan yang mungkin anda ada dalam dunia internet ini.