Kršitev podatkov ChatGPT: kaj se je zgodilo z Mixpanelom in kako to vpliva na vas

Uporabniki ChatGPT V zadnjih nekaj urah so prejeli e-pošto, ki je dvignila več kot eno obrv: OpenAI poroča o kršitvi podatkov, povezani z njihovo platformo APIOpozorilo je doseglo veliko občinstvo, vključno z ljudmi, ki niso bili neposredno prizadeti, kar je ... povzročil nekaj zmede o dejanskem obsegu incidenta.

Kar je podjetje potrdilo, je, da je prišlo do nepooblaščen dostop do nekaterih podatkov strankVendar težava ni bila v strežnikih OpenAI, ampak v ... Mixpanel, ponudnik spletne analitike tretje osebe, ki je zbiral meritve uporabe vmesnika API v platform.openai.comKljub temu pa primer vprašanje znova postavlja v ospredje. razprava o tem, kako se osebni podatki upravljajo v storitvah umetne inteligence, tudi v Evropi in pod okriljem RGPD.

Napaka v Mixpanelu, ne v sistemih OpenAI

Kot je OpenAI podrobno predstavil v svoji izjavi, se je incident zgodil November 9ko je Mixpanel zaznal, da je napadalec pridobil dostop nepooblaščen dostop do dela njegove infrastrukture in izvozil nabor podatkov, uporabljen za analizo. V teh tednih je prodajalec izvedel notranjo preiskavo, da bi ugotovil, kateri podatki so bili ogroženi.

Ko je imel Mixpanel več jasnosti, uradno obveščen OpenAI 25. novembrapošiljanje prizadetega nabora podatkov, da bi podjetje lahko ocenilo vpliv na svoje stranke. Šele nato je OpenAI začel navzkrižno primerjati podatke, prepoznati potencialno vpletene račune in pripraviti e-poštna obvestila, ki te dni prihajajo na tisoče uporabnikov po vsem svetu.

OpenAI vztraja, da Ni bilo vdora v njihove strežnike, aplikacije ali baze podatkovNapadalec ni pridobil dostopa do ChatGPT ali notranjih sistemov podjetja, temveč do okolja ponudnika, ki je zbiral analitične podatke. Kljub temu so praktične posledice za končnega uporabnika enake: nekateri njihovi podatki so končali tam, kjer ne bi smeli.

Te vrste scenarijev spadajo pod tisto, kar je v kibernetski varnosti znano kot napad na digitalna dobavna verigaNamesto neposrednega napada na glavno platformo, kriminalci ciljajo na tretjo osebo, ki upravlja s podatki s te platforme in ima pogosto manj stroge varnostne kontrole.

Povezani članek:

Katere podatke zbirajo pomočniki umetne inteligence in kako zaščititi vašo zasebnost

Kateri uporabniki so bili dejansko prizadeti

Ena od točk, ki vzbuja največ dvomov, je, kdo bi moral biti v resnici zaskrbljen. Glede tega je OpenAI precej jasen: Vrzel vpliva le na tiste, ki uporabljajo OpenAI API prek spleta platform.openai.comSe pravi, predvsem razvijalci, podjetja in organizacije ki integrirajo modele podjetja v svoje aplikacije in storitve.

Uporabniki, ki v brskalniku ali aplikaciji uporabljajo le običajno različico ChatGPT za občasna vprašanja ali osebna opravila, Ne bi bili neposredno prizadeti zaradi incidenta, kot podjetje ponavlja v vseh svojih izjavah. Kljub temu se je OpenAI zaradi preglednosti odločil, da bo informativno e-pošto poslal zelo široko, kar je prispevalo k vznemirjenju mnogih ljudi, ki niso bili vpleteni.

V primeru API-ja je običajno, da za njim stoji profesionalni projekti, korporativne integracije ali komercialni izdelkiTo velja tudi za evropska podjetja. Glede na posredovane informacije med organizacijami, ki uporabljajo tega ponudnika, so tako velika tehnološka podjetja kot mala zagonska podjetja, kar krepi idejo, da je vsak akter v digitalnem ekosistemu ranljiv pri zunanjem izvajanju analitičnih ali spremljalnih storitev.

S pravnega vidika je za evropske stranke pomembno, da gre za kršitev oseba, odgovorna za zdravljenje (Mixpanel), ki obdeluje podatke v imenu OpenAI. To zahteva obveščanje prizadetih organizacij in, kjer je to primerno, organov za varstvo podatkov v skladu s predpisi GDPR.

Kateri podatki so ušli in kateri so še vedno varni

Z vidika uporabnika je veliko vprašanje, katere informacije so bile izpuščene. OpenAI in Mixpanel se strinjata, da je to ... podatki profila in osnovna telemetrija, uporabno za analitiko, ne pa za vsebino interakcij z umetno inteligenco ali dostopne poverilnice.

Med potencialno izpostavljeni podatki Najdeni so naslednji elementi, povezani z računi API:

• ime podano ob registraciji računa v API-ju.
• Email naslov povezan s tem računom.
• Približna lokacija (mesto, pokrajina ali zvezna država in država), razbrano iz brskalnika in naslova IP.
• Operacijski sistem in brskalnik uporablja se za dostop platform.openai.com.
• Referenčna spletna mesta (napotitelji), iz katerih je bil dosežen vmesnik API.
• Notranji identifikatorji uporabnikov ali organizacij povezan z API računom.

Ta nabor orodij sam po sebi ne omogoča nikomur, da bi prevzel nadzor nad računom ali izvajal klice API-ja v imenu uporabnika, vendar zagotavlja dokaj popoln profil uporabnika, kako se povezuje in kako uporablja storitev. Za napadalca, specializiranega za socialni inženiringTi podatki so lahko čisto zlato pri pripravi izjemno prepričljivih e-poštnih sporočil ali sporočil.

Hkrati OpenAI poudarja, da obstaja blok informacij, ki ni bil ogroženPo navedbah podjetja ostajajo varni:

• Pogovori v klepetu s ChatGPT, vključno s pozivi in ​​odgovori.
• Zahteve API-ja in dnevniki uporabe (ustvarjena vsebina, tehnični parametri itd.).
• Gesla, poverilnice in ključi API-ja računov.
• Informacije o plačilu, kot so številke kartic ali podatki za obračun.
• Uradni osebni dokumenti ali druge posebej občutljive podatke.

Z drugimi besedami, incident spada v okvir identifikacijski in kontekstualni podatkiVendar se ni dotaknila niti pogovorov z umetno inteligenco niti ključev, ki bi tretji osebi omogočili neposredno upravljanje računov.

Glavna tveganja: lažno predstavljanje in socialni inženiring

Tudi če napadalec nima gesel ali API ključev, jih ima ime, e-poštni naslov, lokacija in interni identifikatorji omogoča zagon goljufive kampanje veliko bolj verodostojen. Tukaj se strokovnjaki za OpenAI in varnost osredotočajo na svoja prizadevanja.

S temi informacijami na mizi je enostavno sestaviti sporočilo, ki se zdi legitimno: e-poštna sporočila, ki posnemajo komunikacijski slog OpenAIOmenijo API, navedejo uporabnika po imenu in celo namigujejo na njegovo mesto ali državo, da bi opozorilo zvenelo bolj resnično. Ni treba napadati infrastrukture, če lahko uporabnika pretentate, da posreduje svoje poverilnice na lažnem spletnem mestu.

Najverjetnejši scenariji vključujejo poskuse, da bi klasično lažno predstavljanje (povezave do domnevnih upravljalnih plošč API za »preverjanje računa«) in z bolj dovršenimi tehnikami socialnega inženiringa, namenjenimi skrbnikom organizacij ali IT-ekipam v podjetjih, ki intenzivno uporabljajo API.

V Evropi je ta točka neposredno povezana z zahtevami GDPR o minimizacija podatkovNekateri strokovnjaki za kibernetsko varnost, kot je ekipa OX Security, ki jo navajajo evropski mediji, poudarjajo, da je zbiranje več informacij, kot je nujno potrebno za analitiko izdelkov – na primer e-poštnih sporočil ali podrobnih podatkov o lokaciji – lahko v nasprotju z obveznostjo čim večje omejitve količine obdelanih podatkov.

Odgovor OpenAI: premor od Mixpanela in temeljit pregled

Ko je OpenAI prejel tehnične podrobnosti incidenta, se je poskušal odločno odzvati. Prvi ukrep je bil popolnoma odstranite integracijo Mixpanela vseh svojih produkcijskih storitev, tako da ponudnik nima več dostopa do novih podatkov, ki jih ustvarijo uporabniki.

Hkrati podjetje navaja, da temeljito pregleduje prizadeti nabor podatkov da bi razumeli dejanski vpliv na vsak račun in organizacijo. Na podlagi te analize so začeli obvestiti individualno skrbnikom, podjetjem in uporabnikom, ki so prikazani v naboru podatkov, ki ga je izvozil napadalec.

OpenAI trdi tudi, da je začel dodatna varnostna preverjanja vseh njihovih sistemov in pri vseh drugih zunanjih ponudnikih s katerimi sodeluje. Cilj je zvišati zahteve glede zaščite, okrepiti pogodbene klavzule in strožje nadzorovati, kako te tretje osebe zbirajo in shranjujejo podatke.

Podjetje v svojih sporočilih poudarja, da »zaupanje, varnost in zasebnostTo so osrednji elementi njegovega poslanstva. Poleg retorike ta primer ponazarja, kako lahko kršitev na videz sekundarnega agenta neposredno vpliva na zaznano varnost tako obsežne storitve, kot je ChatGPT.

Vpliv na uporabnike in podjetja v Španiji in Evropi

V evropskem kontekstu, kjer GDPR in prihodnji predpisi, specifični za umetno inteligenco Postavili so visoke standarde za varstvo podatkov in takšni incidenti se skrbno preučijo. Za vsako podjetje, ki uporablja OpenAI API iz Evropske unije, kršitev podatkov s strani ponudnika analitike ni majhna zadeva.

Po eni strani bodo morali evropski upravljavci podatkov, ki so del API-ja, pregledajo svoje ocene učinka in dnevnike dejavnosti preveriti, kako je opisana uporaba ponudnikov, kot je Mixpanel, in ali so informacije, ki so posredovane njihovim uporabnikom, dovolj jasne.

Po drugi strani pa razkritje poslovnih e-poštnih naslovov, lokacij in organizacijskih identifikatorjev odpira vrata Ciljno usmerjeni napadi na razvojne ekipe, IT oddelke ali vodje projektov umetne inteligenceNe gre le za morebitna tveganja za posamezne uporabnike, temveč tudi za podjetja, ki ključne poslovne procese temeljijo na modelih OpenAI.

V Španiji ta vrsta vrzeli prihaja na radar Španska agencija za varstvo podatkov (AEPD) kadar vplivajo na državljane ali subjekte s stalnim prebivališčem na nacionalnem ozemlju. Če prizadete organizacije menijo, da uhajanje predstavlja tveganje za pravice in svoboščine posameznikov, so dolžne to oceniti in po potrebi obvestiti tudi pristojni organ.

Praktični nasveti za zaščito vašega računa

Poleg tehničnih pojasnil želijo mnogi uporabniki vedeti še Kaj morajo storiti zdaj?OpenAI vztraja, da sprememba gesla ni nujna, saj ni bilo razkrito, vendar večina strokovnjakov priporoča dodatno previdnost.

Če uporabljate OpenAI API ali želite biti preprosto na varni strani, je priporočljivo slediti vrsti osnovnih korakov, ki Drastično zmanjšajo tveganje da bi napadalec lahko izkoristil uhajanje podatkov:

• Bodite previdni pri nepričakovanih e-poštnih sporočilih ki trdijo, da so iz storitev OpenAI ali API-jev, zlasti če omenjajo izraze, kot so »nujno preverjanje«, »varnostni incident« ali »zaklepanje računa«.
• Vedno preverite naslov pošiljatelja in domeno, na katero kažejo povezave, preden kliknete. Če imate kakršne koli dvome, je najbolje, da do nje dostopate ročno. platform.openai.com vtipkanjem URL-ja v brskalnik.
• Omogočanje večfaktorske avtentikacije (MFA/2FA) v vašem računu OpenAI in kateri koli drugi občutljivi storitvi. To je zelo učinkovita ovira, tudi če nekdo z goljufijo pridobi vaše geslo.
• Ne delite gesel, ključev API ali kod za preverjanje prek e-pošte, klepeta ali telefona. OpenAI uporabnike opominja, da te vrste podatkov nikoli ne bo zahteval prek nepreverjenih kanalov.
• Vrednost Zamenjajte geslo Če ste intenziven uporabnik API-ja ali če ga ponavadi ponovno uporabljate v drugih storitvah, se je temu na splošno najbolje izogniti.

Za tiste, ki delujejo iz podjetij ali upravljajo projekte z več razvijalci, je to morda pravi čas za pregledajte notranje varnostne politikeDovoljenja za dostop do API-ja in postopki za odzivanje na incidente, usklajeni s priporočili ekip za kibernetsko varnost.

Lekcije o podatkih, tretjih osebah in zaupanju v umetno inteligenco

Puščanje informacij iz Mixpanela je bilo v primerjavi z drugimi večjimi incidenti v zadnjih letih omejeno, vendar se je zgodilo v času, ko je Storitve generativne umetne inteligence so postale nekaj običajnega To velja tako za posameznike kot za evropska podjetja. Vsakič, ko se nekdo registrira, integrira API ali naloži podatke v takšno orodje, s tem precejšen del svojega digitalnega življenja prepusti tretjim osebam.

Ena od lekcij, ki se jih učimo iz tega primera, je potreba po čim manj osebnih podatkov, ki jih delimo z zunanjimi ponudnikiVeč strokovnjakov poudarja, da tudi pri delu z legitimnimi in znanimi podjetji vsak prepoznavni del podatkov, ki zapusti glavno okolje, odpre novo potencialno točko izpostavljenosti.

Prav tako poudarja, v kolikšni meri transparentna komunikacija To je ključnega pomena. OpenAI se je odločil za zagotavljanje širokih informacij, celo pošiljanje e-poštnih sporočil neprizadetim uporabnikom, kar lahko povzroči nekaj zaskrbljenosti, a posledično pušča manj prostora za sum o pomanjkanju informacij.

V scenariju, kjer se bo umetna inteligenca še naprej vključevala v upravne postopke, bančništvo, zdravstvo, izobraževanje in delo na daljavo po vsej Evropi, nam takšni incidenti služijo kot opomnik, da Varnost ni odvisna samo od glavnega ponudnika.temveč celotne mreže podjetij, ki stojijo za njo. In da tudi če kršitev podatkov ne vključuje gesel ali pogovorov, ostaja tveganje goljufije zelo resnično, če se ne upoštevajo osnovne zaščitne navade.

Vse, kar se je zgodilo z vdorom v ChatGPT in Mixpanel, kaže, kako ima lahko že relativno omejeno uhajanje podatkov znatne posledice: sili OpenAI, da ponovno premisli o svojem odnosu s tretjimi osebami, spodbuja evropska podjetja in razvijalce, da pregledajo svoje varnostne prakse, in uporabnike opominja, da je njihova glavna obramba pred napadi še vedno obveščenost. spremljajo e-pošto, ki jo prejemajo, in okrepijo zaščito svojih računov.

Alberto navarro

Sem tehnološki navdušenec, ki je svoja "geek" zanimanja spremenil v poklic. Več kot 10 let svojega življenja sem porabil za uporabo vrhunske tehnologije in premleval najrazličnejše programe iz čiste radovednosti. Zdaj sem se specializiral za računalniško tehnologijo in video igre. To je zato, ker že več kot 5 let pišem za različna spletna mesta o tehnologiji in video igrah ter ustvarjam članke, ki vam želijo dati informacije, ki jih potrebujete, v jeziku, ki je razumljiv vsem.

Če imate kakršna koli vprašanja, moje znanje sega od vsega v zvezi z operacijskim sistemom Windows kot tudi Androidom za mobilne telefone. In moja zaveza je vam, vedno sem pripravljen porabiti nekaj minut in vam pomagati razrešiti kakršna koli vprašanja, ki jih morda imate v tem internetnem svetu.