Únik údajov ChatGPT: čo sa stalo s Mixpanelom a ako to ovplyvňuje vás

Užívatelia ChatGPT V posledných hodinách dostali e-mail, ktorý zdvihol nejednu obočie: OpenAI hlási únik údajov spojený s jej platformou APIVarovanie oslovilo široké publikum vrátane ľudí, ktorých sa priamo netýkalo, čo... spôsobil určitý zmätok o skutočnom rozsahu incidentu.

Spoločnosť potvrdila, že došlo k neoprávnený prístup k niektorým informáciám zákazníkovProblém však nebol so servermi OpenAI, ale s... Mixpanel, poskytovateľ webovej analytiky tretej strany, ktorý zhromažďoval metriky používania rozhrania API v platform.openai.comNapriek tomu prípad opäť vynáša túto problematiku do popredia. diskusia o tom, ako sa osobné údaje spravujú v službách umelej inteligencie, aj v Európe a pod záštitou RGPD.

Chyba v Mixpaneli, nie v systémoch OpenAI

Ako spoločnosť OpenAI podrobne uviedla vo svojom vyhlásení, incident vznikol dňa Novembra 9keď Mixpanel zistil, že útočník získal prístup neoprávnený prístup k časti jeho infraštruktúry a exportoval súbor údajov použitý na analýzu. Počas týchto týždňov dodávateľ vykonal interné vyšetrovanie s cieľom zistiť, ktoré informácie boli ohrozené.

Keď mal Mixpanel viac jasnosti, formálne informoval OpenAI 25. novembraodoslanie dotknutého súboru údajov, aby spoločnosť mohla posúdiť vplyv na svojich vlastných zákazníkov. Až potom OpenAI začala porovnávať dáta, identifikovať potenciálne zapojené účty a pripraviť e-mailové upozornenia, ktoré v týchto dňoch prichádzajú tisíckam používateľov na celom svete.

OpenAI trvá na tom, že Nedošlo k žiadnemu narušeniu ich serverov, aplikácií ani databáz.Útočník nezískal prístup k ChatGPT ani k interným systémom spoločnosti, ale skôr k prostrediu poskytovateľa, ktorý zhromažďoval analytické údaje. Napriek tomu je pre koncového používateľa praktický dôsledok rovnaký: niektoré z jeho údajov skončili tam, kde nemali.

Tieto typy scenárov spadajú pod to, čo je v kybernetickej bezpečnosti známe ako útok na digitálny dodávateľský reťazecNamiesto priameho útoku na hlavnú platformu sa zločinci zameriavajú na tretiu stranu, ktorá spracováva údaje z tejto platformy a často má menej prísne bezpečnostné kontroly.

Súvisiaci článok:

Aké údaje zhromažďujú asistenti s umelou inteligenciou a ako chrániť vaše súkromie

Ktorí používatelia boli skutočne ovplyvnení

Jedným z bodov, ktoré vyvolávajú najväčšie pochybnosti, je, koho by to malo skutočne znepokojovať. V tomto bode sa OpenAI vyjadrila celkom jasne: Táto medzera sa týka iba tých, ktorí používajú rozhranie OpenAI API. prostredníctvom webu platform.openai.comTeda hlavne vývojári, spoločnosti a organizácie ktoré integrujú modely spoločnosti do svojich vlastných aplikácií a služieb.

Používatelia, ktorí používajú bežnú verziu ChatGPT iba v prehliadači alebo aplikácii na občasné otázky alebo osobné úlohy, Neboli by priamo ovplyvnení kvôli incidentu, ako spoločnosť opakovane zdôrazňuje vo všetkých svojich vyhláseniach. Napriek tomu sa OpenAI kvôli transparentnosti rozhodla rozoslať informačný e-mail veľmi široko, čo prispelo k znepokojeniu mnohých ľudí, ktorí sa do neho nezúčastnili.

V prípade API je bežné, že za ním stojí profesionálne projekty, firemné integrácie alebo komerčné produktyPlatí to aj pre európske spoločnosti. Podľa poskytnutých informácií medzi organizácie využívajúce tohto poskytovateľa patria veľké technologické spoločnosti aj malé startupy, čo posilňuje myšlienku, že každý hráč v digitálnom ekosystéme je zraniteľný pri outsourcingu analytických alebo monitorovacích služieb.

Z právneho hľadiska je pre európskych zákazníkov relevantné, že ide o porušenie osoba zodpovedná za liečbu (Mixpanel), ktorý spracováva údaje v mene OpenAI. To si vyžaduje informovanie dotknutých organizácií a v prípade potreby aj orgánov na ochranu údajov v súlade s nariadeniami GDPR.

Ktoré údaje unikli a ktoré zostali v bezpečí

Z pohľadu používateľa je veľkou otázkou, aké informácie boli vynechané. OpenAI a Mixpanel sa zhodujú, že je to... údaje profilu a základná telemetria, užitočné pre analytiku, ale nie pre obsah interakcií s umelou inteligenciou alebo prístupové poverenia.

Medzi potenciálne vystavené údaje Nachádzajú sa nasledujúce prvky súvisiace s účtami API:

• názov poskytnuté pri registrácii účtu v rozhraní API.
• Emailová adresa spojené s daným účtom.
• Približná poloha (mesto, provincia alebo štát a krajina), odvodené z prehliadača a IP adresy.
• Operačný systém a prehliadač používa sa na prístup platform.openai.com.
• Referenčné webové stránky (referrery), z ktorých bolo dosiahnuté rozhranie API.
• Interné identifikátory používateľov alebo organizácií prepojené s účtom API.

Táto sada nástrojov sama o sebe neumožňuje nikomu prevziať kontrolu nad účtom ani vykonávať volania API v mene používateľa, ale poskytuje pomerne úplný profil toho, kto je používateľ, ako sa pripája a ako používa službu. Pre útočníka špecializujúceho sa na sociálne inžinierstvoTieto údaje môžu byť rýdzim zlatom pri príprave mimoriadne presvedčivých e-mailov alebo správ.

Zároveň OpenAI zdôrazňuje, že existuje blok informácií, ktorý nebol ohrozenýPodľa spoločnosti zostávajú v bezpečí:

• Chatové konverzácie s ChatGPT vrátane výziev a odpovedí.
• Žiadosti o API a protokoly používania (vygenerovaný obsah, technické parametre atď.).
• Heslá, prihlasovacie údaje a kľúče API účtov.
• Informácie o platbe, ako sú čísla kariet alebo fakturačné údaje.
• Oficiálne doklady totožnosti alebo iné obzvlášť citlivé informácie.

Inými slovami, incident spadá do rozsahu pôsobnosti identifikačné a kontextové údajeNedotklo sa to však ani konverzácií s umelou inteligenciou, ani kľúčov, ktoré by umožnili tretej strane priamo operovať s účtami.

Hlavné riziká: phishing a sociálne inžinierstvo

Aj keď útočník nemá heslá ani API kľúče, ich mať meno, e-mailová adresa, miesto a interné identifikátory umožňuje spustenie podvodné kampane oveľa dôveryhodnejšie. Práve na to sa odborníci na OpenAI a bezpečnosť zameriavajú.

S týmito informáciami v tabuľke je ľahké zostaviť správu, ktorá sa zdá byť legitímna: e-maily, ktoré napodobňujú komunikačný štýl OpenAISpomínajú API, uvádzajú používateľa menom a dokonca narážajú na jeho mesto alebo krajinu, aby upozornenie znelo reálnejšie. Nie je potrebné útočiť na infraštruktúru, ak sa dá oklamať používateľa, aby poskytol svoje prihlasovacie údaje na falošnej webovej stránke.

Najpravdepodobnejšie scenáre zahŕňajú pokusy o klasický phishing (odkazy na údajné panely správy API na „overenie účtu“) a prepracovanejšími technikami sociálneho inžinierstva zameranými na administrátorov organizácií alebo IT tímov v spoločnostiach, ktoré intenzívne používajú API.

V Európe je tento bod priamo spojený s požiadavkami GDPR na minimalizácia dátNiektorí špecialisti na kybernetickú bezpečnosť, ako napríklad tím OX Security, ktorého citujú európske médiá, poukazujú na to, že zhromažďovanie väčšieho množstva informácií, ako je nevyhnutne potrebné na analýzu produktov – napríklad e-mailov alebo podrobných údajov o polohe – môže byť v rozpore s povinnosťou čo najviac obmedziť množstvo spracovávaných údajov.

Reakcia OpenAI: prestávka s Mixpanelom a dôkladná revízia

Keď OpenAI dostala technické podrobnosti o incidente, pokúsila sa rozhodne reagovať. Prvým opatrením bolo úplne odstrániť integráciu Mixpanelu všetkých svojich produkčných služieb, takže poskytovateľ už nemá prístup k novým údajom generovaným používateľmi.

Zároveň spoločnosť uvádza, že dôkladne kontroluje dotknutý súbor údajov pochopiť skutočný dopad na každý účet a organizáciu. Na základe tejto analýzy začali oznámiť individuálne administrátorom, spoločnostiam a používateľom, ktorí sa zobrazujú v súbore údajov exportovanom útočníkom.

OpenAI tiež tvrdí, že začala dodatočné bezpečnostné kontroly všetkých ich systémov a u všetkých ostatných externých poskytovateľov s ktorými spolupracuje. Cieľom je zvýšiť požiadavky na ochranu, posilniť zmluvné doložky a prísnejšie kontrolovať, ako tieto tretie strany zhromažďujú a uchovávajú informácie.

Spoločnosť vo svojej komunikácii zdôrazňuje, že „dôvera, bezpečnosť a súkromieToto sú ústredné prvky jeho poslania. Okrem rétoriky tento prípad ilustruje, ako môže mať narušenie zdanlivo sekundárneho agenta priamy vplyv na vnímanú bezpečnosť takej rozsiahlej služby, akou je ChatGPT.

Dopad na používateľov a podniky v Španielsku a Európe

V európskom kontexte, kde GDPR a budúce nariadenia špecifické pre umelú inteligenciu Stanovujú si vysokú latku na ochranu údajov a takéto incidenty sú dôkladne prešetrované. Pre každú spoločnosť používajúcu rozhranie OpenAI API z Európskej únie nie je únik údajov poskytovateľom analytických služieb maličkosťou.

Na jednej strane budú musieť európski prevádzkovatelia údajov, ktorí sú súčasťou API preskúmať svoje posúdenia vplyvu a záznamy o činnosti skontrolovať, ako je opísané používanie poskytovateľov ako Mixpanel a či sú informácie poskytované ich vlastným používateľom dostatočne jasné.

Na druhej strane, odhalenie firemných e-mailov, lokalít a organizačných identifikátorov otvára dvere k... Cielené útoky na vývojové tímy, IT oddelenia alebo projektových manažérov umelej inteligencieNejde len o potenciálne riziká pre jednotlivých používateľov, ale aj pre spoločnosti, ktoré zakladajú kritické obchodné procesy na modeloch OpenAI.

V Španielsku sa tento typ medzery dostáva na radar Španielska agentúra na ochranu údajov (AEPD) ak sa týkajú občanov alebo subjektov s trvalým pobytom na území štátu. Ak sa dotknuté organizácie domnievajú, že únik predstavuje riziko pre práva a slobody jednotlivcov, sú povinné ho posúdiť a v prípade potreby aj informovať príslušný orgán.

Praktické tipy na ochranu vášho účtu

Okrem technických vysvetlení chce veľa používateľov vedieť Čo musia práve teraz urobiť?OpenAI trvá na tom, že zmena hesla nie je nevyhnutná, keďže nebolo zverejnené, ale väčšina odborníkov odporúča opatrnosť.

Ak používate rozhranie OpenAI API alebo si chcete byť jednoducho istí, odporúča sa postupovať podľa niekoľkých základných krokov, ktoré Výrazne znižujú riziko že útočník by mohol zneužiť uniknuté údaje:

• Dávajte si pozor na neočakávané e-maily ktoré tvrdia, že pochádzajú z OpenAI alebo služieb súvisiacich s API, najmä ak uvádzajú výrazy ako „urgentné overenie“, „bezpečnostný incident“ alebo „uzamknutie účtu“.
• Vždy skontrolujte adresu odosielateľa a doménu, na ktorú odkazy odkazujú, pred kliknutím. Ak máte akékoľvek pochybnosti, je najlepšie k nim pristupovať manuálne. platform.openai.com zadaním URL adresy do prehliadača.
• Povoliť viacfaktorové overovanie (MFA/2FA) na vašom účte OpenAI a akejkoľvek inej citlivej službe. Je to veľmi účinná bariéra, aj keď niekto získa vaše heslo podvodom.
• Nezdieľajte heslá, kľúče API ani overovacie kódy prostredníctvom e-mailu, chatu alebo telefónu. OpenAI pripomína používateľom, že tento typ údajov nikdy nebude vyžadovať prostredníctvom neoverených kanálov.
• Hodnota Zmeň si heslo Ak ste častým používateľom API alebo ak ho máte tendenciu opätovne používať v iných službách, je vo všeobecnosti najlepšie sa tomu vyhnúť.

Pre tých, ktorí pôsobia v spoločnostiach alebo riadia projekty s viacerými vývojármi, môže byť teraz vhodný čas na... prehodnotiť interné bezpečnostné zásadyPovolenia na prístup k API a postupy reakcie na incidenty, ktoré sú v súlade s odporúčaniami tímov kybernetickej bezpečnosti.

Ponaučenia o dátach, tretích stranách a dôvere v umelú inteligenciu

Únik z Mixpanelu bol v porovnaní s inými závažnými incidentmi v posledných rokoch obmedzený, ale prichádza v čase, keď... Služby generatívnej umelej inteligencie sa stali bežnými Toto platí pre jednotlivcov aj pre európske spoločnosti. Vždy, keď sa niekto zaregistruje, integruje API alebo nahrá informácie do takéhoto nástroja, zveruje významnú časť svojho digitálneho života do rúk tretích strán.

Jedným z ponaučení, ktoré tento prípad prináša, je potreba minimalizovať zdieľanie osobných údajov s externými poskytovateľmiViacerí odborníci zdôrazňujú, že aj pri práci s legitímnymi a známymi spoločnosťami každý identifikovateľný údaj, ktorý opustí hlavné prostredie, otvára nový potenciálny bod odhalenia.

Taktiež zdôrazňuje rozsah, v akom transparentná komunikácia Toto je kľúčové. OpenAI sa rozhodla poskytovať široké informácie, dokonca posiela e-maily nedotknutým používateľom, čo môže spôsobiť určité obavy, ale zároveň ponecháva menej priestoru pre podozrenie z nedostatku informácií.

V scenári, kde bude umelá inteligencia naďalej integrovaná do administratívnych postupov, bankovníctva, zdravotníctva, vzdelávania a práce na diaľku v celej Európe, nám incidenty, ako je tento, pripomínajú, že Bezpečnosť nezávisí výlučne od hlavného poskytovateľa.ale skôr celej siete spoločností, ktoré za tým stoja. A že aj keď únik údajov nezahŕňa heslá ani konverzácie, riziko podvodu zostáva veľmi reálne, ak sa nedodržia základné ochranné návyky.

Všetko, čo sa stalo s únikom ChatGPT a Mixpanel, ukazuje, ako aj relatívne obmedzený únik môže mať významné následky: núti OpenAI prehodnotiť svoj vzťah s tretími stranami, tlačí európske spoločnosti a vývojárov, aby prehodnotili svoje bezpečnostné postupy, a pripomína používateľom, že ich hlavnou obranou proti útokom zostáva informovanosť. monitorovať e-maily, ktoré dostávajú, a posilniť ochranu ich účtov.

Alberto navarro

Som technologický nadšenec, ktorý zo svojich „geekovských“ záujmov urobil povolanie. Strávil som viac ako 10 rokov svojho života používaním špičkových technológií a hraním so všetkými druhmi programov z čistej zvedavosti. Teraz som sa špecializoval na počítačovú techniku ​​a videohry. Je to preto, že už viac ako 5 rokov píšem pre rôzne webové stránky o technológiách a videohrách a vytváram články, ktoré sa snažia poskytnúť vám potrebné informácie v jazyku, ktorý je zrozumiteľný pre každého.

Ak máte nejaké otázky, moje znalosti siahajú od všetkého, čo súvisí s operačným systémom Windows, ako aj Androidom pre mobilné telefóny. A môj záväzok je voči vám, vždy som ochotný venovať pár minút a pomôcť vám vyriešiť akékoľvek otázky, ktoré môžete mať v tomto internetovom svete.