Încălcarea datelor cu caracter personal pe ChatGPT: ce s-a întâmplat cu Mixpanel și cum te afectează

Utilizatorii de Chat GPT În ultimele ore, au primit un e-mail care a stârnit mai multe surprize: OpenAI raportează o încălcare a datelor legată de platforma sa APIAvertismentul a ajuns la un public numeros, inclusiv la persoane care nu au fost afectate direct, ceea ce a... a generat o oarecare confuzie despre amploarea reală a incidentului.

Ceea ce a confirmat compania este că a existat o acces neautorizat la informațiile unor cliențiDar problema nu a fost cu serverele OpenAI, ci cu... Mixpanel, un furnizor terț de analiză web care a colectat valori de utilizare a interfeței API în platform.openai.comChiar și așa, cazul readuce problema în prim-plan. dezbatere despre modul în care sunt gestionate datele cu caracter personal în serviciile de inteligență artificială, de asemenea, în Europa și sub umbrela RGPD.

O eroare în Mixpanel, nu în sistemele OpenAI

După cum a detaliat OpenAI în declarația sa, incidentul a avut loc pe... 9 de noviembrecând Mixpanel a detectat că un atacator a obținut acces acces neautorizat la o parte a infrastructurii sale și exportase un set de date utilizat pentru analiză. În acele săptămâni, furnizorul a efectuat o investigație internă pentru a determina ce informații fuseseră compromise.

Odată ce Mixpanel a avut mai multă claritate, a informat oficial OpenAI pe 25 noiembrietrimiterea setului de date afectat, astfel încât compania să poată evalua impactul asupra propriilor clienți. Abia atunci OpenAI a început să facă referințe încrucișate ale datelor., identificați conturile potențial implicate și pregătiți notificările prin e-mail care ajung în aceste zile la mii de utilizatori din întreaga lume.

OpenAI insistă că Nu a existat nicio intruziune în serverele, aplicațiile sau bazele lor de dateAtacatorul nu a obținut acces la ChatGPT sau la sistemele interne ale companiei, ci mai degrabă la mediul unui furnizor care colecta date analitice. Chiar și așa, pentru utilizatorul final, consecința practică este aceeași: o parte din datele sale au ajuns unde nu ar fi trebuit.

Aceste tipuri de scenarii se încadrează în ceea ce este cunoscut în domeniul securității cibernetice drept atac asupra... lanțul de aprovizionare digitalÎn loc să atace direct platforma principală, infractorii vizează o terță parte care gestionează date de pe platforma respectivă și care adesea are controale de securitate mai puțin stricte.

Articol asociat:

Ce date colectează asistenții AI și cum vă pot proteja confidențialitatea

Ce utilizatori au fost de fapt afectați

Unul dintre punctele care generează cele mai mari îndoieli este cine ar trebui să fie cu adevărat îngrijorat. În această privință, OpenAI a fost destul de clară: Discrepanța îi afectează doar pe cei care utilizează API-ul OpenAI prin web platform.openai.comAdică, în principal dezvoltatori, companii și organizații care integrează modelele companiei în propriile aplicații și servicii.

Utilizatorii care folosesc doar versiunea obișnuită a ChatGPT în browser sau aplicație, pentru interogări ocazionale sau sarcini personale, Nu ar fi fost afectați direct din cauza incidentului, așa cum reiterează compania în toate declarațiile sale. Chiar și așa, de dragul transparenței, OpenAI a ales să transmită e-mailul informativ pe scară largă, ceea ce a contribuit la alarmarea multor persoane care nu sunt implicate.

În cazul API-ului, este obișnuit ca în spatele acestuia să existe proiecte profesionale, integrări corporative sau produse comercialeAcest lucru este valabil și pentru companiile europene. Conform informațiilor furnizate, organizațiile care utilizează acest furnizor includ atât companii mari de tehnologie, cât și startup-uri mici, ceea ce întărește ideea că orice jucător din ecosistemul digital este vulnerabil atunci când externalizează servicii de analiză sau monitorizare.

Din punct de vedere juridic, este relevant pentru clienții europeni faptul că aceasta reprezintă o încălcare a unui persoana responsabilă de tratament (Mixpanel) care gestionează datele în numele OpenAI. Aceasta necesită notificarea organizațiilor afectate și, după caz, a autorităților pentru protecția datelor, în conformitate cu reglementările GDPR.

Ce date au fost scurse și ce date rămân în siguranță

Din perspectiva utilizatorului, marea întrebare este ce fel de informații au fost omise. OpenAI și Mixpanel sunt de acord că este... date de profil și telemetrie de bază, util pentru analiză, dar nu și pentru conținutul interacțiunilor cu inteligența artificială sau cu datele de acces.

Printre date potențial expuse Se găsesc următoarele elemente legate de conturile API:

• nume furnizate la înregistrarea contului în API.
• Adresa de e-mail asociate cu acel cont.
• Locație aproximativă (oraș, provincie sau stat și țară), deduse din browser și adresa IP.
• Sistem de operare și browser folosit pentru a accesa platform.openai.com.
• Site-uri web de referință (referrer-uri) de la care s-a ajuns la interfața API.
• Identificatori interni de utilizator sau organizație conectat la contul API.

Acest set de instrumente, în sine, nu permite nimănui să preia controlul asupra unui cont sau să execute apeluri API în numele utilizatorului, dar oferă un profil destul de complet al utilizatorului, al modului în care se conectează și al modului în care utilizează serviciul. Pentru un atacator specializat în Inginerie socialaAceste date pot fi aur curat atunci când pregătești e-mailuri sau mesaje extrem de convingătoare.

În același timp, OpenAI subliniază faptul că există un bloc de informații care nu a fost compromisăPotrivit companiei, acestea rămân în siguranță:

• Conversații prin chat cu ChatGPT, inclusiv solicitări și răspunsuri.
• Cereri API și jurnale de utilizare (conținut generat, parametri tehnici etc.).
• Parole, credențiale și chei API a conturilor.
• Informații de plată, cum ar fi numerele de card sau informațiile de facturare.
• Documente oficiale de identitate sau alte informații deosebit de sensibile.

Cu alte cuvinte, incidentul se încadrează în sfera de aplicare a date de identificare și contextualeDar nu a atins nici conversațiile cu inteligența artificială, nici cheile care ar permite unei terțe părți să opereze direct asupra conturilor.

Principalele riscuri: phishing și inginerie socială

Chiar dacă atacatorul nu are parole sau chei API, deținerea lor nume, adresă de e-mail, locație și identificatori interni permite lansarea campanii de fraudă mult mai credibil. Aici își concentrează eforturile OpenAI și experții în securitate.

Având aceste informații la dispoziție, este ușor să construim un mesaj care pare legitim: e-mailuri care imită stilul de comunicare OpenAIAceștia menționează API-ul, citează utilizatorul pe nume și chiar fac aluzie la orașul sau țara sa pentru a face alerta să sune mai reală. Nu este nevoie să ataci infrastructura dacă poți păcăli utilizatorul să își furnizeze acreditările pe un site web fals.

Cele mai probabile scenarii implică încercări de a phishing clasic (linkuri către presupuse panouri de gestionare a API-ului pentru „verificarea contului”) și prin tehnici de inginerie socială mai elaborate, destinate administratorilor organizațiilor sau echipelor IT din companiile care utilizează intensiv API-ul.

În Europa, acest punct este direct legat de cerințele GDPR privind minimizarea datelorUnii specialiști în securitate cibernetică, precum echipa OX Security citată în presa europeană, subliniază că colectarea mai multor informații decât este strict necesar pentru analiza produselor - de exemplu, e-mailuri sau date detaliate despre locație - poate intra în conflict cu obligația de a limita cât mai mult posibil cantitatea de date prelucrate.

Răspunsul OpenAI: o pauză de la Mixpanel și o analiză amănunțită

Odată ce OpenAI a primit detaliile tehnice ale incidentului, a încercat să reacționeze decisiv. Prima măsură a fost elimină complet integrarea Mixpanel a tuturor serviciilor sale de producție, astfel încât furnizorul să nu mai aibă acces la noile date generate de utilizatori.

În același timp, compania declară că examinează cu atenție setul de date afectat să înțeleagă impactul real asupra fiecărui cont și organizație. Pe baza acestei analize, au început să notifica individual administratorilor, companiilor și utilizatorilor care apar în setul de date exportat de atacator.

OpenAI susține, de asemenea, că a început verificări suplimentare de securitate pe toate sistemele lor și cu toți ceilalți furnizori externi cu cine lucrează. Scopul este de a crește cerințele de protecție, de a consolida clauzele contractuale și de a audita mai riguros modul în care aceste terțe părți colectează și stochează informații.

Compania subliniază în comunicările sale că „încredere, securitate și confidențialitateAcestea sunt elemente centrale ale misiunii sale. Dincolo de retorică, acest caz ilustrează modul în care o breșă de securitate a unui agent aparent secundar poate avea un efect direct asupra securității percepute a unui serviciu atât de masiv precum ChatGPT.

Impactul asupra utilizatorilor și afacerilor din Spania și Europa

În contextul european, unde GDPR și viitoarele reglementări specifice IA Aceștia stabilesc standarde înalte pentru protecția datelor, iar incidente de acest gen sunt analizate cu atenție. Pentru orice companie care utilizează API-ul OpenAI din Uniunea Europeană, o încălcare a securității datelor de către un furnizor de servicii de analiză nu este o problemă ușoară.

Pe de o parte, operatorii de date europeni care fac parte din API vor trebui revizuiască evaluările lor de impact și jurnalele de activitate pentru a verifica cum este descrisă utilizarea furnizorilor precum Mixpanel și dacă informațiile furnizate propriilor utilizatori sunt suficient de clare.

Pe de altă parte, expunerea e-mailurilor corporative, a locațiilor și a identificatorilor organizaționali deschide ușa către Atacuri direcționate împotriva echipelor de dezvoltare, departamentelor IT sau managerilor de proiecte de inteligență artificialăNu este vorba doar despre riscurile potențiale pentru utilizatorii individuali, ci și pentru companiile care își bazează procesele critice de afaceri pe modele OpenAI.

În Spania, acest tip de discrepanță intră în atenția publicului. Agenția Spaniolă pentru Protecția Datelor (AEPD) atunci când afectează cetățeni rezidenți sau entități stabilite pe teritoriul național. În cazul în care organizațiile afectate consideră că scurgerea prezintă un risc pentru drepturile și libertățile persoanelor, acestea sunt obligate să o evalueze și, după caz, să notifice și autoritatea competentă.

Sfaturi practice pentru a vă proteja contul

Dincolo de explicațiile tehnice, ceea ce mulți utilizatori vor să știe este Ce trebuie să facă acum?OpenAI insistă că schimbarea parolei nu este esențială, deoarece aceasta nu a fost divulgată, dar majoritatea experților recomandă aplicarea unui nivel suplimentar de precauție.

Dacă utilizați API-ul OpenAI sau pur și simplu doriți să fiți în siguranță, este recomandabil să urmați o serie de pași de bază care Acestea reduc drastic riscul că un atacator ar putea exploata datele scurse:

• Fiți atenți la e-mailurile neașteptate care pretind că provin de la servicii OpenAI sau legate de API, mai ales dacă menționează termeni precum „verificare urgentă”, „incident de securitate” sau „blocare cont”.
• Verificați întotdeauna adresa expeditorului și domeniul la care indică linkurile înainte de a da clic. Dacă aveți îndoieli, cel mai bine este să îl accesați manual. platform.openai.com tastând adresa URL în browser.
• Activați autentificarea multi-factor (MFA/2FA) pe contul tău OpenAI și pe orice alt serviciu sensibil. Este o barieră foarte eficientă chiar dacă cineva îți obține parola prin înșelăciune.
• Nu partajați parole, chei API sau coduri de verificare prin e-mail, chat sau telefon. OpenAI le reamintește utilizatorilor că nu va solicita niciodată acest tip de date prin canale neverificate.
• Valoare Schimbați-vă parola Dacă ești un utilizator înrăit al API-ului sau dacă ai tendința să îl reutilizezi în alte servicii, lucru care, în general, este cel mai bine să eviți.

Pentru cei care operează din companii sau gestionează proiecte cu mai mulți dezvoltatori, acesta ar putea fi un moment bun pentru revizuirea politicilor de securitate internăPermisiuni de acces API și proceduri de răspuns la incidente, aliniindu-le cu recomandările echipelor de securitate cibernetică.

Lecții despre date, terțe părți și încredere în inteligența artificială

Scurgerea de informații despre Mixpanel a fost limitată în comparație cu alte incidente majore din ultimii ani, dar survine într-un moment în care... Serviciile de inteligență artificială generativă au devenit ceva obișnuit Acest lucru se aplică atât persoanelor fizice, cât și companiilor europene. De fiecare dată când cineva se înregistrează, integrează o API sau încarcă informații într-un astfel de instrument, își pune o parte semnificativă din viața digitală în mâinile unor terți.

Una dintre lecțiile pe care le ne învață acest caz este necesitatea de a minimizarea datelor personale partajate cu furnizorii externiMai mulți experți subliniază faptul că, chiar și atunci când se lucrează cu companii legitime și cunoscute, fiecare element identificabil de date care părăsește mediul principal deschide un nou punct potențial de expunere.

De asemenea, subliniază măsura în care comunicare transparentă Acest lucru este esențial. OpenAI a ales să ofere informații ample, chiar trimițând e-mailuri utilizatorilor neafectați, ceea ce poate provoca o oarecare alarmă, dar, la rândul său, lasă mai puțin loc pentru suspiciune privind lipsa de informații.

Într-un scenariu în care inteligența artificială va continua să fie integrată în procedurile administrative, în sistemul bancar, în sănătate, în educație și în munca la distanță în întreaga Europă, incidente precum acesta ne reamintesc că Securitatea nu depinde exclusiv de furnizorul principal.ci mai degrabă a întregii rețele de companii din spatele acesteia. Și că, chiar dacă încălcarea securității datelor nu include parole sau conversații, riscul de fraudă rămâne foarte real dacă nu se adoptă obiceiuri de protecție de bază.

Tot ce s-a întâmplat cu breșa de securitate ChatGPT și Mixpanel arată cum chiar și o scurgere de date relativ limitată poate avea consecințe semnificative: obligă OpenAI să își regândească relația cu terții, îndeamnă companiile și dezvoltatorii europeni să își revizuiască practicile de securitate și le reamintește utilizatorilor că principala lor apărare împotriva atacurilor rămâne informarea. monitorizarea e-mailurilor pe care le primesc și consolidarea protecției conturilor lor.

Alberto navarro

Sunt un pasionat de tehnologie care și-a transformat interesele de „tocilar” într-o profesie. Mi-am petrecut mai bine de 10 ani din viața mea folosind tehnologie de ultimă oră și mânuind cu tot felul de programe din pură curiozitate. Acum m-am specializat în tehnologie computerizată și jocuri video. Asta pentru că de mai bine de 5 ani scriu pentru diverse site-uri web despre tehnologie și jocuri video, creând articole care urmăresc să-ți ofere informațiile de care ai nevoie într-un limbaj pe care oricine este pe înțeles.

Dacă aveți întrebări, cunoștințele mele variază de la tot ce ține de sistemul de operare Windows, precum și Android pentru telefoane mobile. Și angajamentul meu este față de tine, sunt mereu dispus să petrec câteva minute și să te ajut să rezolvi orice întrebări pe care le poți avea în această lume a internetului.