Ksur tad-dejta ta' ChatGPT: x'ġara b'Mixpanel u kif jaffettwak

L-utenti ta ' Chat GPT Fl-aħħar ftit sigħat, irċevew email li qajmet aktar minn għajn waħda: OpenAI tirrapporta ksur tad-dejta marbut mal-pjattaforma tal-API tagħhaIt-twissija laħqet udjenza massiva, inklużi nies li ma ġewx affettwati direttament, u dan wassal biex ħolqot xi konfużjoni dwar l-ambitu attwali tal-inċident.

Dak li kkonfermat il-kumpanija huwa li kien hemm aċċess mhux awtorizzat għall-informazzjoni ta' xi klijentiImma l-problema ma kinitx mas-servers tal-OpenAI, imma ma'... Mixpanel, fornitur ta' analitika tal-web ta' parti terza li ġabar metriċi tal-użu tal-interfaċċja tal-API fi platform.openai.comAnke hekk, il-każ jerġa' jġib il-kwistjoni fil-wiċċ. dibattitu dwar kif id-dejta personali hija ġestita fis-servizzi tal-intelliġenza artifiċjali, ukoll fl-Ewropa u taħt l-umbrella ta' RGPD.

Bug f'Mixpanel, mhux fis-sistemi ta' OpenAI

Kif iddettaljat minn OpenAI fid-dikjarazzjoni tagħha, l-inċident oriġina fuq Novembru 9meta Mixpanel skopra li attakkant kien kiseb aċċess aċċess mhux awtorizzat għal parti mill-infrastruttura tagħha u kien esporta sett ta’ dejta użat għall-analiżi. Matul dawk il-ġimgħat, il-bejjiegħ wettaq investigazzjoni interna biex jiddetermina liema informazzjoni kienet ġiet kompromessa.

Ladarba Mixpanel kellu aktar ċarezza, informa formalment lil OpenAI fil-25 ta' Novembruit-trażmissjoni tas-sett tad-dejta affettwat sabiex il-kumpanija tkun tista' tivvaluta l-impatt fuq il-klijenti tagħha stess. Kien dakinhar biss li OpenAI bdiet tirreferi d-dejta b'mod inkroċjat, identifika kontijiet potenzjalment involuti u pprepara n-notifiki bl-email li qed jaslu llum il-ġurnata għand eluf ta’ utenti madwar id-dinja.

OpenAI tinsisti li Ma kien hemm l-ebda intrużjoni fis-servers, l-applikazzjonijiet, jew id-databases tagħhomL-attakkant ma kisibx aċċess għal ChatGPT jew għas-sistemi interni tal-kumpanija, iżda pjuttost għall-ambjent ta' fornitur li kien qed jiġbor dejta analitika. Anke hekk, għall-utent aħħari, il-konsegwenza prattika hija l-istess: parti mid-dejta tagħhom spiċċat fejn ma kellhiex tkun.

Dawn it-tipi ta’ xenarji jaqgħu taħt dak li hu magħruf fiċ-ċibersigurtà bħala attakk fuq katina tal-provvista diġitaliMinflok ma jattakkaw direttament il-pjattaforma ewlenija, il-kriminali jimmiraw lejn parti terza li timmaniġġja d-dejta minn dik il-pjattaforma u ħafna drabi jkollha kontrolli ta' sigurtà inqas stretti.

Artiklu relatat:

Liema dejta jiġbru l-assistenti tal-AI u kif jipproteġu l-privatezza tiegħek

Liema utenti ġew fil-fatt affettwati

Wieħed mill-punti li qed jiġġenera l-aktar dubju huwa min għandu verament ikun ikkonċernat. Dwar dan il-punt, OpenAI kienet pjuttost ċara: Id-distakk jaffettwa biss lil dawk li jużaw l-API tal-OpenAI permezz tal-Web platform.openai.comJiġifieri, prinċipalment żviluppaturi, kumpaniji u organizzazzjonijiet li jintegraw il-mudelli tal-kumpanija fl-applikazzjonijiet u s-servizzi tagħhom stess.

Utenti li jużaw biss il-verżjoni regolari ta' ChatGPT fil-browser jew fl-app, għal mistoqsijiet okkażjonali jew kompiti personali, Ma kinux se jiġu affettwati direttament minħabba l-inċident, kif ittenni l-kumpanija fid-dikjarazzjonijiet kollha tagħha. Anke hekk, għall-fini tat-trasparenza, OpenAI għażlet li tibgħat l-email informattiva b'mod wiesa' ħafna, u dan ikkontribwixxa biex allarmat lil ħafna nies li mhumiex involuti.

Fil-każ tal-API, huwa normali li warajha jkun hemm proġetti professjonali, integrazzjonijiet korporattivi, jew prodotti kummerċjaliDan japplika wkoll għall-kumpaniji Ewropej. Skont l-informazzjoni pprovduta, l-organizzazzjonijiet li jużaw dan il-fornitur jinkludu kemm kumpaniji kbar tat-teknoloġija kif ukoll startups żgħar, u dan isaħħaħ l-idea li kwalunkwe attur fl-ekosistema diġitali huwa vulnerabbli meta jagħti servizzi ta' analitika jew monitoraġġ lil ħaddieħor.

Minn perspettiva legali, huwa rilevanti għall-klijenti Ewropej li dan huwa ksur f' persuna inkarigata mit-trattament (Mixpanel) li timmaniġġja d-dejta f'isem OpenAI. Dan jirrikjedi li jiġu nnotifikati l-organizzazzjonijiet affettwati u, fejn xieraq, l-awtoritajiet tal-protezzjoni tad-dejta, skont ir-regolamenti tal-GDPR.

Liema dejta ġiet żvelata u liema dejta tibqa' sigura

Mill-perspettiva tal-utent, il-mistoqsija l-kbira hija x'tip ta' informazzjoni tħalliet barra. OpenAI u Mixpanel jaqblu li hija... dejta tal-profil u telemetrija bażika, utli għall-analitika, iżda mhux għall-kontenut tal-interazzjonijiet mal-AI jew il-kredenzjali tal-aċċess.

Bejn dejta potenzjalment esposta Jinstabu l-elementi li ġejjin relatati mal-kontijiet tal-API:

• isem ipprovdut meta rreġistra l-kont fl-API.
• Indirizz Email assoċjat ma' dak il-kont.
• Post approssimattiv (belt, provinċja jew stat, u pajjiż), dedott mill-brawżer u l-indirizz IP.
• Sistema operattiva u browser użat għall-aċċess platform.openai.com.
• Websajts ta' referenza (referrers) li minnhom intlaħqet l-interfaċċja tal-API.
• Identifikaturi interni tal-utent jew tal-organizzazzjoni marbut mal-kont tal-API.

Dan is-sett ta' għodod waħdu ma jippermettix lil ħadd jieħu kontroll ta' kont jew jesegwixxi sejħiet tal-API f'isem l-utent, iżda jipprovdi profil pjuttost komplut ta' min hu l-utent, kif jikkonnettja, u kif juża s-servizz. Għal attakkant li jispeċjalizza f' inġinerija soċjaliDin id-dejta tista’ tkun deheb pur meta tħejji emails jew messaġġi estremament konvinċenti.

Fl-istess ħin, OpenAI tenfasizza li hemm blokk ta’ informazzjoni li ma ġiex kompromessSkont il-kumpanija, dawn jibqgħu sikuri:

• Konversazzjonijiet taċ-chat ma' ChatGPT, inklużi prompts u risposti.
• Talbiet tal-API u logs tal-użu (kontenut iġġenerat, parametri tekniċi, eċċ.).
• Passwords, kredenzjali, u ċwievet tal-API tal-kontijiet.
• Informazzjoni dwar il-Ħlas, bħal numri tal-kards jew informazzjoni dwar il-kontijiet.
• Dokumenti uffiċjali tal-identità jew informazzjoni oħra partikolarment sensittiva.

Fi kliem ieħor, l-inċident jaqa' fl-ambitu tal- dejta ta' identifikazzjoni u kuntestwaliIżda ma messx la l-konversazzjonijiet mal-AI u lanqas iċ-ċwievet li jippermettu lil parti terza topera direttament fuq il-kontijiet.

Riskji ewlenin: phishing u inġinerija soċjali

Anke jekk l-attakkant ma jkollux passwords jew ċwievet tal-API, li jkolluhom isem, indirizz elettroniku, post, u identifikaturi interni jippermetti t-tnedija kampanji ta' frodi ħafna aktar kredibbli. Hawnhekk l-OpenAI u l-esperti tas-sigurtà qed jiffokaw l-isforzi tagħhom.

B'dik l-informazzjoni fuq il-mejda, huwa faċli li tibni messaġġ li jidher leġittimu: emails li jimitaw l-istil ta' komunikazzjoni ta' OpenAIHuma jsemmu l-API, jiċċitaw lill-utent b'ismu, u saħansitra jalludu għall-belt jew pajjiż tagħhom biex jagħmlu t-twissija tinstema' aktar reali. M'hemmx bżonn tattakka l-infrastruttura jekk tista' tqarraq bl-utent biex jagħti l-kredenzjali tiegħu fuq websajt falza.

L-aktar xenarji probabbli jinvolvu tentattivi biex phishing klassiku (links għal allegati pannelli ta' ġestjoni tal-API biex "jivverifikaw il-kont") u permezz ta' tekniki ta' inġinerija soċjali aktar elaborati mmirati lejn amministraturi ta' organizzazzjonijiet jew timijiet tal-IT f'kumpaniji li jużaw l-API b'mod intensiv.

Fl-Ewropa, dan il-punt huwa marbut direttament mar-rekwiżiti tal-GDPR dwar minimizzazzjoni tad-dataXi speċjalisti taċ-ċibersigurtà, bħat-tim OX Security ikkwotat fil-midja Ewropea, jirrimarkaw li l-ġbir ta’ aktar informazzjoni milli huwa strettament meħtieġ għall-analitika tal-prodott—pereżempju, emails jew dejta dettaljata dwar il-lokazzjoni—jista’ jkun f’kunflitt mal-obbligu li jiġi limitat kemm jista’ jkun l-ammont ta’ dejta pproċessata.

Ir-risposta ta' OpenAI: waqfa minn Mixpanel u reviżjoni bir-reqqa

Ladarba OpenAI rċeviet id-dettalji tekniċi tal-inċident, ippruvat tirreaġixxi b'mod deċiżiv. L-ewwel miżura kienet neħħi kompletament l-integrazzjoni tal-Mixpanel tas-servizzi kollha ta' produzzjoni tiegħu, sabiex il-fornitur ma jibqax ikollu aċċess għal dejta ġdida ġġenerata mill-utenti.

Fl-istess ħin, il-kumpanija tiddikjara li qed tirrevedi bir-reqqa d-dataset affettwat biex jifhmu l-impatt reali fuq kull kont u organizzazzjoni. Abbażi ta’ dik l-analiżi, bdew jinnotifika individwalment lil amministraturi, kumpaniji, u utenti li jidhru fid-dataset esportat mill-attakkant.

OpenAI ssostni wkoll li bdiet kontrolli addizzjonali tas-sigurtà fuq is-sistemi kollha tagħhom u mal-fornituri esterni l-oħra kollha ma’ min taħdem. L-għan huwa li jiżdiedu r-rekwiżiti ta’ protezzjoni, jissaħħu l-klawżoli kuntrattwali, u jiġi awditjat b’mod aktar rigoruż kif dawn il-partijiet terzi jiġbru u jaħżnu l-informazzjoni.

Il-kumpanija tenfasizza fil-komunikazzjonijiet tagħha li “fiduċja, sigurtà u privatezzaDawn huma elementi ċentrali tal-missjoni tagħha. Lil hinn mir-retorika, dan il-każ juri kif ksur f'aġent apparentement sekondarju jista' jkollu effett dirett fuq is-sigurtà perċepita ta' servizz massiv daqs ChatGPT.

Impatt fuq l-utenti u n-negozji fi Spanja u l-Ewropa

Fil-kuntest Ewropew, fejn il- GDPR u regolamenti futuri speċifiċi għall-IA Huma jistabbilixxu livell għoli għall-protezzjoni tad-dejta, u inċidenti bħal dan jiġu skrutinizzati. Għal kwalunkwe kumpanija li tuża l-OpenAI API minn ġewwa l-Unjoni Ewropea, ksur tad-dejta minn fornitur tal-analitika mhuwiex kwistjoni żgħira.

Minn naħa waħda, il-kontrolluri tad-dejta Ewropej li huma parti mill-API se jkollhom jirrevedu l-valutazzjonijiet tal-impatt u r-reġistri tal-attività tagħhom biex jivverifikaw kif l-użu ta' fornituri bħal Mixpanel huwa deskritt u jekk l-informazzjoni pprovduta lill-utenti tagħhom stess hijiex ċara biżżejjed.

Min-naħa l-oħra, l-esponiment ta' emails korporattivi, postijiet, u identifikaturi organizzazzjonali jiftaħ il-bieb għal Attakki mmirati kontra timijiet ta' żvilupp, dipartimenti tal-IT, jew maniġers ta' proġetti tal-AIDan mhux biss dwar riskji potenzjali għal utenti individwali, iżda wkoll għal kumpaniji li jibbażaw proċessi kummerċjali kritiċi fuq mudelli OpenAI.

Fi Spanja, dan it-tip ta’ lakuna qed tidher fuq ir-radar tal- Aġenzija Spanjola għall-Protezzjoni tad-Dejta (AEPD) meta jaffettwaw ċittadini residenti jew entitajiet stabbiliti fit-territorju nazzjonali. Jekk l-organizzazzjonijiet affettwati jqisu li t-tnixxija toħloq riskju għad-drittijiet u l-libertajiet tal-individwi, huma obbligati li jivvalutawh u, fejn xieraq, li jinnotifikaw ukoll lill-awtorità kompetenti.

Pariri prattiċi biex tipproteġi l-kont tiegħek

Lil hinn mill-ispjegazzjonijiet tekniċi, dak li ħafna utenti jridu jkunu jafu huwa X'għandhom jagħmlu issa?OpenAI tinsisti li l-bdil tal-password mhuwiex essenzjali, peress li ma ġietx żvelata, iżda ħafna esperti jirrakkomandaw li jiġi applikat saff żejjed ta' kawtela.

Jekk tuża l-OpenAI API, jew sempliċement trid tkun fuq in-naħa tas-sigurtà, huwa rakkomandabbli li ssegwi serje ta' passi bażiċi li Huma jnaqqsu drastikament ir-riskju li attakkant jista' jisfrutta d-dejta li nxterdet:

• Oqgħod attent minn emails mhux mistennija li jsostnu li huma minn servizzi tal-OpenAI jew relatati mal-API, speċjalment jekk isemmu termini bħal "verifika urġenti", "inċident ta' sigurtà" jew "imblukkar tal-kont".
• Dejjem iċċekkja l-indirizz ta' min jibgħat u d-dominju li l-links jippuntaw lejh qabel ma tikklikkja. Jekk għandek xi dubji, l-aħjar li taċċessah manwalment. platform.openai.com ittajpja l-URL fil-browser.
• Ippermetti l-awtentikazzjoni b'ħafna fatturi (MFA/2FA) fuq il-kont OpenAI tiegħek u kwalunkwe servizz sensittiv ieħor. Huwa ostaklu effettiv ħafna anke jekk xi ħadd jikseb il-password tiegħek permezz ta' qerq.
• Taqsamx passwords, ċwievet tal-API, jew kodiċijiet ta' verifika permezz ta' email, chat, jew telefon. OpenAI tfakkar lill-utenti li qatt mhu se titlob dan it-tip ta' dejta permezz ta' kanali mhux verifikati.
• Valur ibdel il-password tiegħek Jekk int utent kbir tal-API jew jekk għandek it-tendenza li terġa' tużaha f'servizzi oħra, xi ħaġa li ġeneralment ikun aħjar li tevita.

Għal dawk li joperaw minn kumpaniji jew jimmaniġġjaw proġetti b'diversi żviluppaturi, dan jista' jkun żmien tajjeb biex tirrevedi l-politiki tas-sigurtà internaPermessi ta' aċċess għall-API u proċeduri ta' rispons għal inċidenti, filwaqt li jiġu allinjati mar-rakkomandazzjonijiet tat-timijiet taċ-ċibersigurtà.

Lezzjonijiet dwar id-dejta, partijiet terzi, u l-fiduċja fl-IA

It-tnixxija ta' Mixpanel kienet limitata meta mqabbla ma' inċidenti kbar oħra fis-snin riċenti, iżda sseħħ fi żmien meta l- Is-servizzi tal-IA ġenerattiva saru komuni Dan japplika kemm għall-individwi kif ukoll għall-kumpaniji Ewropej. Kull darba li xi ħadd jirreġistra, jintegra API, jew ittella’ informazzjoni fuq għodda bħal din, ikun qed ipoġġi parti sinifikanti mill-ħajja diġitali tiegħu f’idejn partijiet terzi.

Waħda mil-lezzjonijiet li jgħallem dan il-każ hija l-ħtieġa li jimminimizza d-dejta personali kondiviża ma' fornituri esterniDiversi esperti jenfasizzaw li, anke meta wieħed jaħdem ma' kumpaniji leġittimi u magħrufa sew, kull biċċa dejta identifikabbli li titlaq mill-ambjent ewlieni tiftaħ punt potenzjali ġdid ta' espożizzjoni.

Jenfasizza wkoll sa liema punt il- komunikazzjoni trasparenti Dan huwa kruċjali. OpenAI għażlet li tipprovdi informazzjoni wiesgħa, anke tibgħat emails lil utenti mhux affettwati, li jista' jikkawża xi allarm iżda, min-naħa tiegħu, iħalli inqas lok għal suspett ta' nuqqas ta' informazzjoni.

F'xenarju fejn l-IA se tkompli tiġi integrata fi proċeduri amministrattivi, bankarji, tas-saħħa, tal-edukazzjoni, u tax-xogħol mill-bogħod madwar l-Ewropa, inċidenti bħal dan iservu bħala tfakkira li Is-sigurtà ma tiddependix biss fuq il-fornitur ewlieni.iżda pjuttost tan-netwerk kollu ta' kumpaniji warajh. U li, anke jekk il-ksur tad-dejta ma jinkludix passwords jew konversazzjonijiet, ir-riskju ta' frodi jibqa' reali ħafna jekk ma jiġux adottati drawwiet bażiċi ta' protezzjoni.

Dak kollu li ġara bil-ksur ta' ChatGPT u Mixpanel juri kif anke tnixxija relattivament limitata jista' jkollha konsegwenzi sinifikanti: iġġiegħel lil OpenAI terġa' taħseb dwar ir-relazzjoni tagħha ma' partijiet terzi, timbotta lill-kumpaniji u l-iżviluppaturi Ewropej biex jirrevedu l-prattiki tas-sigurtà tagħhom, u tfakkar lill-utenti li d-difiża ewlenija tagħhom kontra l-attakki tibqa' li jibqgħu infurmati. jimmonitorjaw l-emails li jirċievu u jsaħħu l-protezzjoni tal-kontijiet tagħhom.

Alberto navarro

Jien dilettant tat-teknoloġija li bidlet l-interessi "geek" tiegħu fi professjoni. Għamilt aktar minn 10 snin minn ħajti nuża teknoloġija avvanzata u nagħmel tbagħbis ma’ kull tip ta’ programmi għal kurżità pura. Issa speċjajtejt fit-teknoloġija tal-kompjuter u l-logħob tal-kompjuter. Dan għaliex ilni aktar minn 5 snin naħdem nikteb għal diversi websajts dwar teknoloġija u video games, noħloq artikli li jfittxu li jagħtuk l-informazzjoni li għandek bżonn b’lingwa li tinftiehem minn kulħadd.

Jekk għandek xi mistoqsijiet, l-għarfien tiegħi jvarja minn dak kollu relatat mas-sistema operattiva Windows kif ukoll Android għat-telefowns ċellulari. U l-impenn tiegħi huwa għalik, jien dejjem lest li nqatta' ftit minuti u ngħinek issolvi kwalunkwe mistoqsija li jista' jkollok f'din id-dinja tal-internet.