Shkelja e të dhënave të ChatGPT: çfarë ndodhi me Mixpanel dhe si ju ndikon kjo

Përditësimi i fundit: 28/11/2025
Autori: Alberto Navarro

  • Shkelja nuk ndodhi në sistemet e OpenAI, por në Mixpanel, një ofrues i jashtëm i analizave.
  • Vetëm përdoruesit që përdorin API-n në platform.openai.com janë prekur, kryesisht zhvilluesit dhe kompanitë.
  • Të dhënat identifikuese dhe teknike janë ekspozuar, por jo bisedat, fjalëkalimet, çelësat API ose informacionet e pagesës.
  • OpenAI ka ndërprerë lidhjet me Mixpanel, po shqyrton të gjithë ofruesit e saj dhe rekomandon marrjen e masave paraprake shtesë kundër phishing-ut.
Shkelje e sigurisë së OpenAI Mixpanel

Përdoruesit e ChatGPT Në orët e fundit, ata kanë marrë një email që ka ngjallur habi të madhe: OpenAI raporton një shkelje të të dhënave të lidhura me platformën e saj APIParalajmërimi ka arritur një audiencë të gjerë, përfshirë njerëz që nuk janë prekur drejtpërdrejt, gjë që ka... krijoi njëfarë konfuzioni në lidhje me përmasat reale të incidentit.

Ajo që kompania ka konfirmuar është se ka pasur një qasje e paautorizuar në informacionin e disa klientëvePor problemi nuk ka qenë me serverat e OpenAI, por me... Paneli i përzier, një ofrues i palës së tretë i analizave të uebit që mblodhi metrika të përdorimit të ndërfaqes API në platform.openai.comMegjithatë, rasti e kthen çështjen në plan të parë. debat mbi mënyrën se si menaxhohen të dhënat personale në shërbimet e inteligjencës artificiale, gjithashtu në Evropë dhe nën ombrellën e GDPR.

Një gabim në Mixpanel, jo në sistemet e OpenAI

Dështim i Mixpanel dhe ChatGPT

Siç detajohet nga OpenAI në deklaratën e saj, incidenti filloi më 9 nëntorkur Mixpanel zbuloi se një sulmues kishte fituar akses qasje të paautorizuar në një pjesë të infrastrukturës së saj dhe kishte eksportuar një grup të dhënash të përdorur për analizë. Gjatë atyre javëve, shitësi kreu një hetim të brendshëm për të përcaktuar se cilat informacione ishin kompromentuar.

Pasi Mixpanel pati më shumë qartësi, informoi zyrtarisht OpenAI më 25 nëntorduke dërguar të dhënat e prekura në mënyrë që kompania të mund të vlerësojë ndikimin tek klientët e saj. Vetëm atëherë OpenAI filloi të kryqëzonte të dhënat., identifikoni llogaritë potencialisht të përfshira dhe përgatitni njoftimet me email që po mbërrijnë këto ditë te mijëra përdorues në të gjithë botën.

OpenAI këmbëngul që Nuk ka pasur ndërhyrje në serverat, aplikacionet ose bazat e të dhënave të tyreSulmuesi nuk fitoi akses në ChatGPT ose në sistemet e brendshme të kompanisë, por në mjedisin e një ofruesi që po mblidhte të dhëna analitike. Megjithatë, për përdoruesin fundor, pasoja praktike është e njëjtë: disa nga të dhënat e tyre kanë përfunduar aty ku nuk duhet të kishin përfunduar.

Këto lloje skenarësh bien nën atë që njihet në sigurinë kibernetike si një sulm ndaj zinxhiri dixhital i furnizimitNë vend që të sulmojnë drejtpërdrejt platformën kryesore, kriminelët synojnë një palë të tretë që trajton të dhëna nga ajo platformë dhe shpesh ka kontrolle sigurie më pak të rrepta.

Çfarë të dhënash mbledhin asistentët e inteligjencës artificiale dhe si ta mbrojnë privatësinë tuaj
Artikull i lidhur:
Çfarë të dhënash mbledhin asistentët e inteligjencës artificiale dhe si ta mbrojnë privatësinë tuaj

Cilët përdorues janë prekur në të vërtetë

shkelje e të dhënave të chatgpt

Një nga pikat që ngjall më shumë dyshime është se kush duhet të jetë vërtet i shqetësuar. Në këtë pikë, OpenAI ka qenë mjaft i qartë: Boshllëku prek vetëm ata që përdorin API-në OpenAI përmes Web-it platform.openai.comDomethënë, kryesisht zhvilluesit, kompanitë dhe organizatat që integrojnë modelet e kompanisë në aplikacionet dhe shërbimet e tyre.

Përdoruesit që përdorin vetëm versionin e rregullt të ChatGPT në shfletues ose aplikacion, për pyetje të rastit ose detyra personale, Ata nuk do të ishin prekur drejtpërdrejt për shkak të incidentit, siç e përsërit kompania në të gjitha deklaratat e saj. Megjithatë, për hir të transparencës, OpenAI zgjodhi ta dërgonte emailin informues në një mënyrë shumë të gjerë, gjë që ka kontribuar në alarmimin e shumë njerëzve që nuk janë të përfshirë.

Përmbajtje ekskluzive - Kliko këtu  Si të aktivizoni verifikimin me dy hapa në Epic Games?

Në rastin e API-t, është e zakonshme që pas tij të ketë projekte profesionale, integrime korporative ose produkte komercialeKjo vlen edhe për kompanitë evropiane. Sipas informacionit të dhënë, organizatat që përdorin këtë ofrues përfshijnë si kompani të mëdha teknologjike ashtu edhe startup-e të vogla, duke përforcuar idenë se çdo lojtar në ekosistemin dixhital është i prekshëm kur kontrakton shërbime analitike ose monitorimi me burime të jashtme.

Nga pikëpamja ligjore, është e rëndësishme për klientët evropianë që kjo është një shkelje në një personi përgjegjës për trajtimin (Mixpanel) që trajton të dhënat në emër të OpenAI. Kjo kërkon njoftimin e organizatave të prekura dhe, kur është e përshtatshme, të autoriteteve të mbrojtjes së të dhënave, në përputhje me rregulloret e GDPR-së.

Cilat të dhëna janë publikuar dhe cilat të dhëna mbeten të sigurta

Nga perspektiva e përdoruesit, pyetja e madhe është se çfarë lloj informacioni është lënë jashtë. OpenAI dhe Mixpanel bien dakord se është... të dhënat e profilit dhe telemetria bazë, i dobishëm për analiza, por jo për përmbajtjen e ndërveprimeve me inteligjencën artificiale ose kredencialet e aksesit.

Ndërmjet të dhëna potencialisht të ekspozuara Gjenden elementët e mëposhtëm që lidhen me llogaritë API:

  • Emri të dhëna gjatë regjistrimit të llogarisë në API.
  • Adresa e email-it të lidhura me atë llogari.
  • Vendndodhja e përafërt (qyteti, provinca ose shteti dhe vendi), i nxjerrë nga shfletuesi dhe adresa IP.
  • Sistemi operativ dhe shfletuesi përdoret për të aksesuar platform.openai.com.
  • Faqet e internetit të referencës (referues) nga të cilët u arrit ndërfaqja e API-t.
  • Identifikuesit e përdoruesit ose të organizatës së brendshme i lidhur me llogarinë API.

Ky grup mjetesh vetëm nuk i lejon askujt të marrë kontrollin e një llogarie ose të ekzekutojë thirrje API në emër të përdoruesit, por ofron një profil mjaft të plotë se kush është përdoruesi, si lidhet dhe si e përdor shërbimin. Për një sulmues të specializuar në inxhinieri socialeKëto të dhëna mund të jenë flori i pastër kur përgatitni email-e ose mesazhe jashtëzakonisht bindëse.

Në të njëjtën kohë, OpenAI thekson se ekziston një bllok informacioni që nuk është kompromentuarSipas kompanisë, ato mbeten të sigurta:

  • Biseda në chat me ChatGPT, duke përfshirë kërkesat dhe përgjigjet.
  • Kërkesat e API-t dhe regjistrat e përdorimit (përmbajtje e gjeneruar, parametra teknikë, etj.).
  • Fjalëkalimet, kredencialet dhe çelësat API të llogarive.
  • Informacion mbi pagesën, siç janë numrat e kartave ose informacioni i faturimit.
  • Dokumente zyrtare identiteti ose informacione të tjera veçanërisht të ndjeshme.

Me fjalë të tjera, incidenti bie brenda fushëveprimit të të dhëna identifikuese dhe kontekstualePor nuk ka prekur as bisedat me IA-në dhe as çelësat që do t'i lejonin një pale të tretë të operonte drejtpërdrejt në llogari.

Rreziqet kryesore: phishing dhe inxhinieri sociale

Si funksionon phishing-u (mashtrimi me anë të phishing-ut)

Edhe nëse sulmuesi nuk ka fjalëkalime ose çelësa API, t'i ketë ato emri, adresa e email-it, vendndodhja dhe identifikuesit e brendshëm lejon të nisë fushata mashtrimi shumë më të besueshme. Këtu po përqendrojnë përpjekjet e tyre ekspertët e OpenAI dhe të sigurisë.

Me atë informacion në tabelë, është e lehtë të ndërtosh një mesazh që duket legjitim: email-e që imitojnë stilin e komunikimit të OpenAI-sëAta përmendin API-n, e citojnë përdoruesin me emër dhe madje aludojnë në qytetin ose vendin e tij për ta bërë alarmin të tingëllojë më real. Nuk ka nevojë të sulmosh infrastrukturën nëse mund ta mashtrosh përdoruesin që të dorëzojë kredencialet e tij në një faqe interneti të rreme.

Përmbajtje ekskluzive - Kliko këtu  Google aktivizon Modalitetin AI në Spanjë: si funksionon dhe si ta përdorni

Skenarët më të mundshëm përfshijnë përpjekje për të phishing klasik (lidhje me panelet e supozuara të menaxhimit të API-t për të "verifikuar llogarinë") dhe nga teknika më të hollësishme të inxhinierisë sociale që synojnë administratorët e organizatave ose ekipet e IT-së në kompanitë që përdorin API-n intensivisht.

Në Evropë, kjo pikë është e lidhur drejtpërdrejt me kërkesat e GDPR-së mbi minimizimi i të dhënaveDisa specialistë të sigurisë kibernetike, siç është ekipi i OX Security i cituar në median evropiane, theksojnë se mbledhja e më shumë informacionit sesa është rreptësisht e nevojshme për analizat e produkteve - për shembull, email-et ose të dhënat e detajuara të vendndodhjes - mund të bien ndesh me detyrimin për të kufizuar sa më shumë të jetë e mundur sasinë e të dhënave të përpunuara.

Përgjigja e OpenAI: një ndërprerje me Mixpanel dhe një rishikim i plotë

Ndryshimet e OpenAI në Korporatën e Përfitimit Publik-9

Pasi OpenAI mori detajet teknike të incidentit, u përpoq të reagonte me vendosmëri. Masa e parë ishte hiq plotësisht integrimin e Mixpanel të të gjitha shërbimeve të saj të prodhimit, në mënyrë që ofruesi të mos ketë më qasje në të dhënat e reja të gjeneruara nga përdoruesit.

Në të njëjtën kohë, kompania deklaron se po shqyrton me kujdes të dhënat e prekura për të kuptuar ndikimin e vërtetë në secilën llogari dhe organizatë. Bazuar në atë analizë, ata kanë filluar të njoftoni individualisht për administratorët, kompanitë dhe përdoruesit që shfaqen në të dhënat e eksportuara nga sulmuesi.

OpenAI gjithashtu pretendon se ka filluar kontrolle shtesë sigurie në të gjitha sistemet e tyre dhe me të gjithë ofruesit e tjerë të jashtëm me të cilët punon. Qëllimi është të rriten kërkesat e mbrojtjes, të forcohen klauzolat kontraktuale dhe të auditohet më rigorozisht se si këto palë të treta mbledhin dhe ruajnë informacionin.

Kompania thekson në komunikimet e saj se “besim, siguri dhe privatësiKëto janë elementë qendrorë të misionit të saj. Përtej retorikës, ky rast ilustron se si një shkelje në një agjent në dukje dytësor mund të ketë një efekt të drejtpërdrejtë në sigurinë e perceptuar të një shërbimi aq masiv sa ChatGPT.

Ndikimi te përdoruesit dhe bizneset në Spanjë dhe Evropë

Në kontekstin evropian, ku GDPR dhe rregulloret e ardhshme specifike për IA-në Ata vendosin një standard të lartë për mbrojtjen e të dhënave dhe incidente të tilla shqyrtohen me kujdes. Për çdo kompani që përdor OpenAI API nga brenda Bashkimit Evropian, një shkelje e të dhënave nga një ofrues analizash nuk është çështje e vogël.

Nga njëra anë, kontrolluesit evropianë të të dhënave që janë pjesë e API-t do të duhet të rishikojnë vlerësimet e tyre të ndikimit dhe regjistrat e aktiviteteve për të kontrolluar se si përshkruhet përdorimi i ofruesve si Mixpanel dhe nëse informacioni i ofruar përdoruesve të tyre është mjaftueshëm i qartë.

Nga ana tjetër, ekspozimi ndaj emaileve të korporatave, vendndodhjeve dhe identifikuesve të organizatave hap derën për Sulme të synuara kundër ekipeve të zhvillimit, departamenteve të IT-së ose menaxherëve të projekteve të IA-sëKjo nuk ka të bëjë vetëm me rreziqet e mundshme për përdoruesit individualë, por edhe për kompanitë që i bazojnë proceset kritike të biznesit në modelet OpenAI.

Në Spanjë, ky lloj boshllëku po vihet në radarin e... Agjencia Spanjolle për Mbrojtjen e të Dhënave (AEPD) kur ato prekin qytetarët rezidentë ose subjektet e vendosura në territorin kombëtar. Nëse organizatat e prekura konsiderojnë se rrjedhja përbën rrezik për të drejtat dhe liritë e individëve, ato janë të detyruara ta vlerësojnë atë dhe, kur është e përshtatshme, të njoftojnë edhe autoritetin kompetent.

Këshilla praktike për të mbrojtur llogarinë tuaj

si të mbroni privatësinë

Përtej shpjegimeve teknike, ajo që shumë përdorues duan të dinë është Çfarë duhet të bëjnë ata tani?OpenAI këmbëngul se ndryshimi i fjalëkalimit nuk është thelbësor, pasi nuk është publikuar, por shumica e ekspertëve rekomandojnë të tregohet më shumë kujdes.

Përmbajtje ekskluzive - Kliko këtu  Gemini Live zgjeron funksionet e tij AI në kohë reale në të gjithë telefonat Android

Nëse përdorni API-në OpenAI, ose thjesht dëshironi të jeni të sigurt, këshillohet të ndiqni një sërë hapash bazë që Ato e zvogëlojnë ndjeshëm rrezikun që një sulmues mund të shfrytëzojë të dhënat e rrjedhura:

  • Kini kujdes nga emailet e papritura që pretendojnë se vijnë nga OpenAI ose shërbime të lidhura me API-në, veçanërisht nëse përmendin terma si "verifikim urgjent", "incident sigurie" ose "bllokim llogarie".
  • Kontrolloni gjithmonë adresën e dërguesit dhe domenin ku tregojnë lidhjet përpara se të klikosh. Nëse ke ndonjë dyshim, është më mirë ta qasesh manualisht. platform.openai.com duke shtypur URL-në në shfletues.
  • Aktivizo vërtetimin me shumë faktorë (MFA/2FA) në llogarinë tuaj OpenAI dhe çdo shërbim tjetër të ndjeshëm. Është një pengesë shumë efektive edhe nëse dikush e merr fjalëkalimin tuaj nëpërmjet mashtrimit.
  • Mos ndani fjalëkalime, çelësa API ose kode verifikimi nëpërmjet email-it, bisedës ose telefonit. OpenAI u kujton përdoruesve se nuk do të kërkojë kurrë këtë lloj të dhënash përmes kanaleve të paverifikuara.
  • Vlerëso ndrysho fjalëkalimin tënd Nëse jeni një përdorues i shpeshtë i API-t ose nëse keni tendencë ta ripërdorni atë në shërbime të tjera, kjo është diçka që në përgjithësi është më mirë të shmanget.

Për ata që operojnë nga kompani ose menaxhojnë projekte me zhvillues të shumtë, kjo mund të jetë një kohë e mirë për të rishikoni politikat e sigurisë së brendshmeLejet e aksesit në API dhe procedurat e reagimit ndaj incidenteve, duke i përafruar ato me rekomandimet e ekipeve të sigurisë kibernetike.

Mësime mbi të dhënat, palët e treta dhe besimin në inteligjencën artificiale

Rrjedhja e informacionit në Mixpanel ka qenë e kufizuar në krahasim me incidente të tjera të mëdha në vitet e fundit, por kjo vjen në një kohë kur Shërbimet gjeneruese të inteligjencës artificiale janë bërë të zakonshme Kjo vlen si për individët ashtu edhe për kompanitë evropiane. Sa herë që dikush regjistrohet, integron një API ose ngarkon informacion në një mjet të tillë, ai po e vendos një pjesë të rëndësishme të jetës së tij dixhitale në duart e palëve të treta.

Një nga mësimet që jep ky rast është nevoja për të minimizoni të dhënat personale të ndara me ofruesit e jashtëmDisa ekspertë theksojnë se, edhe kur punohet me kompani legjitime dhe të njohura, çdo e dhënë e identifikueshme që del nga mjedisi kryesor hap një pikë të re potenciale ekspozimi.

Gjithashtu, ajo thekson shkallën në të cilën komunikim transparent Kjo është thelbësore. OpenAI ka zgjedhur të ofrojë informacion të gjerë, madje duke u dërguar email-e përdoruesve të paprekur, gjë që mund të shkaktojë pak alarm, por, nga ana tjetër, lë më pak hapësirë ​​për dyshime për mungesë informacioni.

Në një skenar ku inteligjenca artificiale do të vazhdojë të integrohet në procedurat administrative, bankare, shëndetësi, arsim dhe punë në distancë në të gjithë Evropën, incidente të tilla shërbejnë si një kujtesë se Siguria nuk varet vetëm nga ofruesi kryesor.por më tepër të të gjithë rrjetit të kompanive që qëndrojnë pas saj. Dhe se, edhe nëse shkelja e të dhënave nuk përfshin fjalëkalime ose biseda, rreziku i mashtrimit mbetet shumë real nëse nuk miratohen zakonet themelore të mbrojtjes.

Gjithçka që ndodhi me shkeljen e ChatGPT dhe Mixpanel tregon se si edhe një rrjedhje relativisht e kufizuar mund të ketë pasoja të rëndësishme: ajo e detyron OpenAI të rishqyrtojë marrëdhënien e saj me palët e treta, i shtyn kompanitë dhe zhvilluesit evropianë të rishikojnë praktikat e tyre të sigurisë dhe u kujton përdoruesve se mbrojtja e tyre kryesore kundër sulmeve mbetet të qëndrojnë të informuar. të monitorojnë emailet që marrin dhe të forcojnë mbrojtjen e llogarive të tyre.