Violação de dados na ChatGPT e Mixpanel: o que aconteceu?

A violação não ocorreu nos sistemas da OpenAI, mas sim na Mixpanel, uma provedora externa de análises.
Apenas os usuários que utilizam a API em platform.openai.com foram afetados, principalmente desenvolvedores e empresas.
Dados de identificação e técnicos foram expostos, mas não conversas, senhas, chaves de API ou informações de pagamento.
A OpenAI rompeu relações com a Mixpanel, está revisando todos os seus fornecedores e recomenda tomar precauções extras contra phishing.

Violação de segurança do Mixpanel da OpenAI

Usuários de ChatGPT Nas últimas horas, eles receberam um e-mail que causou surpresa em muita gente: A OpenAI reporta uma violação de dados relacionada à sua plataforma de API.O alerta alcançou um público enorme, incluindo pessoas que não foram diretamente afetadas, o que tem gerou alguma confusão sobre a real dimensão do incidente.

O que a empresa confirmou é que houve um Acesso não autorizado às informações de alguns clientes.Mas o problema não está nos servidores da OpenAI, mas sim em... Mixpanel, um provedor de análise web terceirizado que coletou métricas de uso da interface de API em platform.openai.comAinda assim, o caso traz a questão de volta à tona. debate sobre como os dados pessoais são gerenciados em serviços de inteligência artificial, também na Europa e sob a égide de RGPD.

Trata-se de um bug no Mixpanel, não nos sistemas da OpenAI.

Falha no Mixpanel e no ChatGPT

Conforme detalhado pela OpenAI em seu comunicado, o incidente teve origem em 9 de novembroquando o Mixpanel detectou que um invasor havia obtido acesso acesso não autorizado a parte de sua infraestrutura e havia exportado um conjunto de dados usado para análise. Durante essas semanas, o fornecedor conduziu uma investigação interna para determinar quais informações haviam sido comprometidas.

Assim que a Mixpanel esclareceu tudo, informou formalmente a OpenAI em 25 de novembro.O envio do conjunto de dados afetado permitiu que a empresa avaliasse o impacto sobre seus próprios clientes. Só então a OpenAI começou a cruzar informações dos dados.Identificar contas potencialmente envolvidas e preparar as notificações por e-mail que chegam atualmente a milhares de usuários em todo o mundo.

A OpenAI insiste que Não houve qualquer intrusão em seus servidores, aplicativos ou bancos de dados.O invasor não obteve acesso ao ChatGPT ou aos sistemas internos da empresa, mas sim ao ambiente de um provedor que coletava dados analíticos. Mesmo assim, para o usuário final, a consequência prática é a mesma: alguns de seus dados foram parar onde não deveriam.

Esses tipos de cenários se enquadram no que é conhecido em cibersegurança como um ataque à cadeia de suprimentos digitalEm vez de atacar diretamente a plataforma principal, os criminosos visam um terceiro que lida com os dados dessa plataforma e que, muitas vezes, possui controles de segurança menos rigorosos.

Que dados os assistentes de IA coletam e como proteger sua privacidade?

Quais usuários foram efetivamente afetados?

violação de dados do chatgpt

Um dos pontos que gera mais dúvidas é quem realmente deveria se preocupar. Sobre esse ponto, a OpenAI foi bastante clara: A diferença afeta apenas aqueles que usam a API da OpenAI. através da web platform.openai.comOu seja, principalmente desenvolvedores, empresas e organizações que integram os modelos da empresa em seus próprios aplicativos e serviços.

Usuários que utilizam apenas a versão normal do ChatGPT no navegador ou aplicativo, para consultas ocasionais ou tarefas pessoais, Eles não teriam sido afetados diretamente. Devido ao incidente, como a empresa reitera em todos os seus comunicados. Mesmo assim, em nome da transparência, a OpenAI optou por enviar o e-mail informativo de forma bastante ampla, o que contribuiu para alarmar muitas pessoas que não estão envolvidas.

Conteúdo exclusivo - Clique aqui Como evitar senhas duplicadas no 1Password?

No caso da API, é comum que por trás dela haja projetos profissionais, integrações corporativas ou produtos comerciaisIsso também se aplica a empresas europeias. De acordo com as informações fornecidas, as organizações que utilizam esse provedor incluem tanto grandes empresas de tecnologia quanto pequenas startups, reforçando a ideia de que qualquer participante do ecossistema digital está vulnerável ao terceirizar serviços de análise ou monitoramento.

Do ponto de vista jurídico, é relevante para os clientes europeus que isto constitui uma violação de um acordo. controlador de dados (Mixpanel) que processa dados em nome da OpenAI. Isso exige a notificação das organizações afetadas e, quando apropriado, das autoridades de proteção de dados, em conformidade com o Regulamento Geral de Proteção de Dados (RGPD).

Que dados foram vazados e que dados permanecem seguros?

Do ponto de vista do usuário, a grande questão é que tipo de informação foi omitida. A OpenAI e a Mixpanel concordam que é... dados de perfil e telemetria básicaÚtil para análises, mas não para o conteúdo das interações com IA ou credenciais de acesso.

Entre os dados potencialmente expostos Os seguintes elementos relacionados a contas de API foram encontrados:

Nome fornecido no momento do cadastro da conta na API.
Endereço de email associada a essa conta.
Localização aproximada (cidade, província ou estado e país), inferidos a partir do navegador e do endereço IP.
Sistema operacional e navegador usado para acessar platform.openai.com.
Sites de referência (referenciadores) a partir dos quais a interface da API foi acessada.
Identificadores internos de usuários ou da organização vinculado à conta da API.

Este conjunto de ferramentas, por si só, não permite que ninguém assuma o controle de uma conta ou execute chamadas de API em nome do usuário, mas fornece um perfil bastante completo de quem é o usuário, como ele se conecta e como usa o serviço. Para um atacante especializado em engenharia socialEsses dados podem ser ouro puro na hora de preparar e-mails ou mensagens extremamente convincentes.

Ao mesmo tempo, a OpenAI enfatiza que existe um bloco de informações que não foi comprometidoSegundo a empresa, eles permanecem seguros:

Conversas por chat Com o ChatGPT, incluindo sugestões e respostas.
Requisições de API e registros de uso (conteúdo gerado, parâmetros técnicos, etc.).
Senhas, credenciais e chaves de API das contas.
Informações de pagamento, como números de cartão ou informações de faturamento.
documentos de identidade oficiais ou outras informações particularmente sensíveis.

Em outras palavras, o incidente se enquadra no âmbito do dados de identificação e contextoMas isso não afetou nem as conversas com a IA nem as chaves que permitiriam a terceiros operar diretamente nas contas.

Principais riscos: phishing e engenharia social

Como funciona o phishing

Mesmo que o atacante não tenha senhas ou chaves de API, tê-las nome, endereço de e-mail, localização e identificadores internos permite lançar campanhas de fraude muito mais credível. É aqui que a OpenAI e os especialistas em segurança estão concentrando seus esforços.

Com essas informações em mãos, é fácil construir uma mensagem que pareça legítima: E-mails que imitam o estilo de comunicação da OpenAIEles mencionam a API, citam o usuário pelo nome e até fazem alusão à cidade ou ao país dele para tornar o alerta mais realista. Não há necessidade de atacar a infraestrutura se for possível enganar o usuário para que ele forneça suas credenciais em um site falso.

Conteúdo exclusivo - Clique aqui Como funciona o 1Password para Família?

Os cenários mais prováveis envolvem tentativas de phishing clássico (links para supostos painéis de gerenciamento de API para "verificar a conta") e por meio de técnicas de engenharia social mais elaboradas, direcionadas a administradores de organizações ou equipes de TI em empresas que utilizam a API intensivamente.

Na Europa, este ponto está diretamente ligado aos requisitos do RGPD (Regulamento Geral sobre a Proteção de Dados). minimização de dadosAlguns especialistas em cibersegurança, como a equipe da OX Security citada na mídia europeia, apontam que coletar mais informações do que o estritamente necessário para a análise de produtos — por exemplo, e-mails ou dados de localização detalhados — pode entrar em conflito com a obrigação de limitar ao máximo a quantidade de dados processados.

Resposta da OpenAI: rompimento com o Mixpanel e uma revisão completa.

Assim que a OpenAI recebeu os detalhes técnicos do incidente, tentou reagir de forma decisiva. A primeira medida foi Remover completamente a integração do Mixpanel de todos os seus serviços de produção, de forma que o provedor não tenha mais acesso a novos dados gerados pelos usuários.

Ao mesmo tempo, a empresa afirma que está revisando minuciosamente o conjunto de dados afetado. Para entender o impacto real em cada conta e organização. Com base nessa análise, eles começaram a notificar individualmente Para administradores, empresas e usuários que aparecem no conjunto de dados exportado pelo invasor.

A OpenAI também afirma que começou verificações de segurança adicionais em todos os seus sistemas e com todos os outros fornecedores externos. Com quem trabalha. O objetivo é aumentar os requisitos de proteção, fortalecer as cláusulas contratuais e auditar com mais rigor a forma como esses terceiros coletam e armazenam informações.

A empresa enfatiza em suas comunicações que “confiança, segurança e privacidadeEsses são elementos centrais de sua missão. Além da retórica, este caso ilustra como uma falha em um agente aparentemente secundário pode ter um efeito direto na segurança percebida de um serviço tão massivo quanto o ChatGPT.

Impacto nos utilizadores e nas empresas em Espanha e na Europa.

No contexto europeu, onde o GDPR e futuras regulamentações específicas de IA Eles estabeleceram um padrão elevado para a proteção de dados, e incidentes como esse são minuciosamente analisados. Para qualquer empresa que utilize a API da OpenAI na União Europeia, uma violação de dados por um provedor de análises não é um assunto trivial.

Por um lado, os controladores de dados europeus que fazem parte da API terão de Analisar as suas avaliações de impacto e registos de atividades. Verificar como o uso de provedores como o Mixpanel é descrito e se as informações fornecidas aos seus usuários são suficientemente claras.

Por outro lado, a exposição de e-mails corporativos, localizações e identificadores organizacionais abre as portas para Ataques direcionados contra equipes de desenvolvimento, departamentos de TI ou gerentes de projetos de IA.Não se trata apenas dos riscos potenciais para usuários individuais, mas também para empresas que baseiam processos de negócios críticos em modelos da OpenAI.

Na Espanha, esse tipo de lacuna está começando a ser observado pelo governo. Agência Espanhola de Proteção de Dados (AEPD) quando afetarem cidadãos residentes ou entidades estabelecidas no território nacional. Se as organizações afetadas considerarem que o vazamento representa um risco para os direitos e liberdades individuais, são obrigadas a avaliá-lo e, se for o caso, notificar também a autoridade competente.

Dicas práticas para proteger sua conta

Além das explicações técnicas, o que muitos usuários querem saber é O que eles precisam fazer agora?A OpenAI insiste que alterar a senha não é essencial, pois ela não foi vazada, mas a maioria dos especialistas recomenda cautela extra.

Conteúdo exclusivo - Clique aqui Alterar senha na Internet: Guia técnico

Se você usa a API da OpenAI ou simplesmente quer garantir a segurança, é recomendável seguir uma série de etapas básicas que Eles reduzem drasticamente o risco. que um atacante possa explorar os dados vazados:

Tenha cuidado com e-mails inesperados. que alegam ser da OpenAI ou de serviços relacionados a APIs, especialmente se mencionarem termos como "verificação urgente", "incidente de segurança" ou "bloqueio de conta".
Verifique sempre o endereço do remetente. e o domínio para o qual os links apontam antes de clicar. Em caso de dúvida, é melhor acessar manualmente. platform.openai.com digitando o URL no navegador.
Ativar autenticação multifator (MFA/2FA) na sua conta OpenAI e em qualquer outro serviço sensível. É uma barreira muito eficaz, mesmo que alguém obtenha sua senha por meio de fraude.
Não compartilhe senhas, chaves de API ou códigos de verificação. por e-mail, chat ou telefone. A OpenAI lembra aos usuários que nunca solicitará esse tipo de dado por canais não verificados.
Avaliar Alterar sua senha Se você utiliza a API com frequência ou costuma reutilizá-la em outros serviços, isso geralmente é melhor evitar.

Para quem trabalha em empresas ou gerencia projetos com vários desenvolvedores, este pode ser um bom momento para... revisar as políticas de segurança internasPermissões de acesso à API e procedimentos de resposta a incidentes, alinhando-os com as recomendações das equipes de segurança cibernética.

Lições sobre dados, terceiros e confiança na IA

O vazamento de dados do Mixpanel foi limitado em comparação com outros incidentes graves dos últimos anos, mas ocorre em um momento em que... Os serviços de IA generativa tornaram-se comuns. Isso se aplica tanto a indivíduos quanto a empresas europeias. Cada vez que alguém se cadastra, integra uma API ou carrega informações em uma ferramenta desse tipo, está colocando uma parte significativa de sua vida digital nas mãos de terceiros.

Uma das lições que este caso ensina é a necessidade de minimizar os dados pessoais partilhados com fornecedores externosDiversos especialistas enfatizam que, mesmo ao trabalhar com empresas legítimas e conhecidas, cada dado identificável que sai do ambiente principal abre um novo ponto potencial de exposição.

Isso também destaca a extensão em que o comunicação transparente Isso é fundamental. A OpenAI optou por fornecer informações abrangentes, inclusive enviando e-mails para usuários não afetados, o que pode causar alguma preocupação, mas, por outro lado, reduz as chances de suspeita de falta de informação.

Num cenário em que a IA continuará a ser integrada em procedimentos administrativos, bancários, de saúde, educação e trabalho remoto em toda a Europa, incidentes como este servem de lembrete de que A segurança não depende exclusivamente do fornecedor principal.mas sim de toda a rede de empresas por trás disso. E mesmo que a violação de dados não inclua senhas ou conversas, o risco de fraude permanece muito real se hábitos básicos de proteção não forem adotados.

Tudo o que aconteceu com a violação de segurança do ChatGPT e do Mixpanel mostra como até mesmo um vazamento relativamente pequeno pode ter consequências significativas: força a OpenAI a repensar seu relacionamento com terceiros, pressiona empresas e desenvolvedores europeus a revisarem suas práticas de segurança e lembra aos usuários que sua principal defesa contra ataques continua sendo manter-se informado. Monitorar os e-mails que recebem e reforçar a proteção de suas contas..

Alberto Navarro

Sou um entusiasta da tecnologia que transformou seus interesses “geek” em profissão. Passei mais de 10 anos da minha vida usando tecnologia de ponta e mexendo em todos os tipos de programas por pura curiosidade. Agora me especializei em informática e videogames. Isto porque há mais de 5 anos escrevo para diversos sites sobre tecnologia e videojogos, criando artigos que procuram dar-lhe a informação que necessita numa linguagem compreensível para todos.

Se você tiver alguma dúvida, meu conhecimento vai desde tudo relacionado ao sistema operacional Windows até Android para celulares. E meu compromisso é com você, estou sempre disposto a dedicar alguns minutos e te ajudar a resolver qualquer dúvida que você possa ter nesse mundo da internet.