Data breach sa ChatGPT at Mixpanel: ano ang nangyari

Ang paglabag ay wala sa mga system ng OpenAI, ngunit sa Mixpanel, isang external na analytics provider.
Ang mga user lang na gumagamit ng API sa platform.openai.com ang naapektuhan, pangunahin ang mga developer at kumpanya.
Nalantad ang pagtukoy at teknikal na data, ngunit hindi mga chat, password, API key o impormasyon sa pagbabayad.
Pinutol ng OpenAI ang ugnayan sa Mixpanel, sinusuri ang lahat ng provider nito, at nagrerekomenda ng karagdagang pag-iingat laban sa phishing.

Paglabag sa seguridad ng OpenAI Mixpanel

Ang mga gumagamit ng Chat GPT Sa nakalipas na ilang oras, nakatanggap sila ng email na nagtaas ng higit sa isang kilay: Nag-uulat ang OpenAI ng data breach na naka-link sa API platform nitoAng babala ay umabot sa napakalaking madla, kabilang ang mga taong hindi direktang naapektuhan, na mayroon nakabuo ng ilang kalituhan tungkol sa aktwal na saklaw ng insidente.

Ang kinumpirma ng kumpanya ay mayroong isang hindi awtorisadong pag-access sa impormasyon ng ilang mga customerNgunit ang problema ay hindi sa mga server ng OpenAI, ngunit sa... Mixpanel, isang third-party na web analytics provider na nangongolekta ng mga sukatan ng paggamit ng interface ng API platform.openai.comGayunpaman, ibinabalik ng kaso ang isyu sa harapan. debate sa kung paano pinamamahalaan ang personal na data sa mga serbisyo ng artificial intelligence, gayundin sa Europa at sa ilalim ng payong ng RGPD.

Isang bug sa Mixpanel, hindi sa mga system ng OpenAI

Pagkabigo ng Mixpanel at ChatGPT

Tulad ng idinetalye ng OpenAI sa pahayag nito, nagmula ang insidente noong Nobyembre 9nang ma-detect ng Mixpanel na nagkaroon ng access ang isang attacker hindi awtorisadong pag-access sa bahagi ng imprastraktura nito at nag-export ng dataset na ginamit para sa pagsusuri. Sa mga linggong iyon, nagsagawa ang vendor ng panloob na pagsisiyasat upang matukoy kung anong impormasyon ang nakompromiso.

Sa sandaling nagkaroon ng higit na kalinawan ang Mixpanel, pormal na ipinaalam sa OpenAI noong Nobyembre 25pagpapadala ng apektadong dataset upang masuri ng kumpanya ang epekto sa sarili nitong mga customer. Noon lamang sinimulan ng OpenAI ang cross-referencing data, tukuyin ang mga potensyal na kasangkot na account at ihanda ang mga notification sa email na dumarating sa mga araw na ito sa libu-libong user sa buong mundo.

Iginiit iyon ng OpenAI Walang panghihimasok sa kanilang mga server, application, o databaseHindi nakakuha ng access ang attacker sa ChatGPT o sa mga panloob na system ng kumpanya, ngunit sa kapaligiran ng isang provider na nangongolekta ng data ng analytics. Gayunpaman, para sa end user, ang praktikal na kahihinatnan ay pareho: ang ilan sa kanilang data ay napunta sa kung saan hindi dapat.

Ang mga uri ng mga sitwasyong ito ay nasa ilalim ng kung ano ang kilala sa cybersecurity bilang isang pag-atake sa digital supply chainSa halip na direktang atakehin ang pangunahing platform, tina-target ng mga kriminal ang isang third party na humahawak ng data mula sa platform na iyon at kadalasan ay may hindi gaanong mahigpit na kontrol sa seguridad.

Kaugnay na artikulo:

Anong data ang kinokolekta ng mga AI assistant at kung paano protektahan ang iyong privacy

Sinong mga user ang aktwal na naapektuhan

paglabag sa data ng chatgpt

Isa sa mga puntong nagdudulot ng pinakamaraming pagdududa ay kung sino talaga ang dapat alalahanin. Sa puntong ito, ang OpenAI ay medyo malinaw: Ang gap ay nakakaapekto lamang sa mga gumagamit ng OpenAI API sa pamamagitan ng Web platform.openai.comIyon ay, higit sa lahat mga developer, kumpanya at organisasyon na nagsasama ng mga modelo ng kumpanya sa kanilang sariling mga aplikasyon at serbisyo.

Mga user na gumagamit lang ng regular na bersyon ng ChatGPT sa browser o app, para sa mga paminsan-minsang query o personal na gawain, Hindi sana sila direktang maapektuhan dahil sa insidente, gaya ng inuulit ng kumpanya sa lahat ng mga pahayag nito. Gayunpaman, para sa kapakanan ng transparency, pinili ng OpenAI na ipadala ang pang-impormasyon na email nang napakalawak, na nag-ambag sa pag-aalala sa maraming tao na hindi kasangkot.

Eksklusibong nilalaman - Mag-click Dito Paano protektahan ang iyong Gmail account

Sa kaso ng API, karaniwan na sa likod nito ay mayroon mga propesyonal na proyekto, pagsasama-sama ng korporasyon, o komersyal na produktoNalalapat din ito sa mga kumpanyang European. Ayon sa ibinigay na impormasyon, ang mga organisasyong gumagamit ng provider na ito ay kinabibilangan ng malalaking kumpanya ng teknolohiya at maliliit na startup, na nagpapatibay sa ideya na ang sinumang manlalaro sa digital ecosystem ay mahina kapag nag-outsourcing ng analytics o mga serbisyo sa pagsubaybay.

Mula sa isang legal na punto ng view, ito ay may kaugnayan para sa mga European customer na ito ay isang paglabag sa a taong namamahala sa paggamot (Mixpanel) na humahawak ng data sa ngalan ng OpenAI. Nangangailangan ito ng pag-abiso sa mga apektadong organisasyon at, kung naaangkop, sa mga awtoridad sa proteksyon ng data, alinsunod sa mga regulasyon ng GDPR.

Anong data ang na-leak at anong data ang nananatiling ligtas

Mula sa pananaw ng gumagamit, ang malaking tanong ay kung anong uri ng impormasyon ang naiwan. Sumasang-ayon ang OpenAI at Mixpanel na ito ay... data ng profile at pangunahing telemetry, kapaki-pakinabang para sa analytics, ngunit hindi para sa nilalaman ng mga pakikipag-ugnayan sa AI o mga kredensyal sa pag-access.

Sa pagitan ng potensyal na nakalantad na data Ang mga sumusunod na elemento na nauugnay sa mga API account ay matatagpuan:

pangalan ibinigay kapag nirerehistro ang account sa API.
email Address nauugnay sa account na iyon.
Tinatayang lokasyon (lungsod, lalawigan o estado, at bansa), na hinuha mula sa browser at IP address.
Operating system at browser ginagamit sa pag-access platform.openai.com.
Mga sangguniang website (mga referrer) kung saan naabot ang interface ng API.
Mga identifier ng panloob na user o organisasyon naka-link sa API account.

Ang hanay ng mga tool na ito lamang ay hindi nagpapahintulot sa sinuman na kontrolin ang isang account o magsagawa ng mga tawag sa API sa ngalan ng user, ngunit nagbibigay ito ng medyo kumpletong profile kung sino ang user, kung paano sila kumonekta, at kung paano nila ginagamit ang serbisyo. Para sa isang attacker na dalubhasa sa engineering sa lipunanAng data na ito ay maaaring purong ginto kapag naghahanda ng lubos na nakakumbinsi na mga email o mensahe.

Kasabay nito, binibigyang-diin ng OpenAI na mayroong isang bloke ng impormasyon na ay hindi nakompromisoAyon sa kumpanya, nananatili silang ligtas:

Mga pag-uusap sa chat sa ChatGPT, kasama ang mga senyas at tugon.
Mga kahilingan sa API at mga log ng paggamit (binuo na nilalaman, mga teknikal na parameter, atbp.).
Mga password, kredensyal, at API key ng mga account.
Impormasyon sa Pagbabayad, gaya ng mga numero ng card o impormasyon sa pagsingil.
Mga opisyal na dokumento ng pagkakakilanlan o iba pang partikular na sensitibong impormasyon.

Sa madaling salita, ang insidente ay nasa saklaw ng pagtukoy at data sa kontekstoNgunit hindi nito nahawakan ang alinman sa mga pag-uusap sa AI o ang mga susi na magpapahintulot sa isang third party na direktang gumana sa mga account.

Pangunahing panganib: phishing at social engineering

Paano gumagana ang phishing

Kahit na ang umaatake ay walang mga password o API key, pagkakaroon ng mga ito pangalan, email address, lokasyon, at mga panloob na pagkakakilanlan nagbibigay-daan upang ilunsad mga kampanya ng pandaraya mas kapani-paniwala. Dito nakatuon ang mga pagsisikap ng OpenAI at mga eksperto sa seguridad.

Gamit ang impormasyong iyon sa talahanayan, madaling bumuo ng isang mensahe na tila lehitimo: mga email na ginagaya ang istilo ng komunikasyon ng OpenAIBinanggit nila ang API, binabanggit ang user sa pamamagitan ng pangalan, at binabanggit pa ang kanilang lungsod o bansa upang gawing mas totoo ang alerto. Hindi na kailangang atakihin ang imprastraktura kung maaari mong linlangin ang user na ibigay ang kanilang mga kredensyal sa isang pekeng website.

Eksklusibong nilalaman - Mag-click Dito Ano ang pagkakaiba sa pagitan ng AVG AntiVirus Free at ang bayad na bersyon?

Ang mga pinaka-malamang na senaryo ay nagsasangkot ng mga pagtatangka klasikong phishing (mga link sa sinasabing mga panel ng pamamahala ng API upang "i-verify ang account") at sa pamamagitan ng mas detalyadong mga diskarte sa social engineering na naglalayong sa mga administrator ng mga organisasyon o IT team sa mga kumpanyang masinsinang gumagamit ng API.

Sa Europe, ang puntong ito ay direktang naka-link sa mga kinakailangan ng GDPR sa pagliit ng dataItinuturo ng ilang mga espesyalista sa cybersecurity, gaya ng OX Security team na binanggit sa European media, na ang pagkolekta ng higit pang impormasyon kaysa sa mahigpit na kinakailangan para sa analytics ng produkto—halimbawa, mga email o detalyadong data ng lokasyon—ay maaaring sumalungat sa obligasyon na limitahan ang dami ng data na naproseso hangga't maaari.

Ang tugon ng OpenAI: isang pahinga sa Mixpanel at isang masusing pagsusuri

Sa sandaling natanggap ng OpenAI ang mga teknikal na detalye ng insidente, sinubukan nitong mag-react nang tiyak. Ang unang sukat ay ganap na alisin ang Mixpanel integration ng lahat ng serbisyo sa produksyon nito, upang ang provider ay wala nang access sa bagong data na nabuo ng mga user.

Kasabay nito, ang kumpanya ay nagsasaad na ay lubusang sinusuri ang apektadong dataset upang maunawaan ang tunay na epekto sa bawat account at organisasyon. Batay sa pagsusuri na iyon, nagsimula na sila abisuhan nang paisa-isa sa mga administrator, kumpanya, at user na lumalabas sa dataset na na-export ng attacker.

Sinasabi rin ng OpenAI na nagsimula na ito karagdagang mga pagsusuri sa seguridad sa lahat ng kanilang mga system at sa lahat ng iba pang mga panlabas na provider kung kanino ito gumagana. Ang layunin ay itaas ang mga kinakailangan sa proteksyon, palakasin ang mga contractual clause, at mas mahigpit na pag-audit kung paano nangongolekta at nag-iimbak ng impormasyon ang mga third party na ito.

Binibigyang-diin ng kumpanya sa mga komunikasyon nito na "tiwala, seguridad at privacyIto ang mga pangunahing elemento ng misyon nito. Higit pa sa retorika, ang kasong ito ay naglalarawan kung paano ang isang paglabag sa isang tila pangalawang ahente ay maaaring magkaroon ng direktang epekto sa pinaghihinalaang seguridad ng isang serbisyo na kasing laki ng ChatGPT.

Epekto sa mga user at negosyo sa Spain at Europe

Sa kontekstong Europeo, kung saan ang GDPR at mga regulasyong partikular sa AI sa hinaharap Nagtakda sila ng mataas na bar para sa proteksyon ng data, at ang mga insidenteng tulad nito ay sinusuri. Para sa anumang kumpanyang gumagamit ng OpenAI API mula sa loob ng European Union, hindi maliit na bagay ang data breach ng isang analytics provider.

Sa isang banda, kakailanganin ng mga European data controller na bahagi ng API suriin ang kanilang mga pagtatasa ng epekto at mga tala ng aktibidad upang suriin kung paano inilarawan ang paggamit ng mga provider tulad ng Mixpanel at kung ang impormasyong ibinigay sa kanilang sariling mga user ay sapat na malinaw.

Sa kabilang banda, ang pagkakalantad ng mga pangkumpanyang email, lokasyon, at pagkakakilanlan ng organisasyon ay nagbubukas ng pinto Mga naka-target na pag-atake laban sa mga development team, IT department, o AI project managerIto ay hindi lamang tungkol sa mga potensyal na panganib para sa mga indibidwal na user, kundi pati na rin para sa mga kumpanyang nagbabatay sa mga kritikal na proseso ng negosyo sa mga modelo ng OpenAI.

Sa Spain, ang ganitong uri ng puwang ay darating sa radar ng Spanish Agency for Data Protection (AEPD) kapag nakakaapekto ang mga ito sa mga residenteng mamamayan o entidad na itinatag sa pambansang teritoryo. Kung isinasaalang-alang ng mga apektadong organisasyon na ang pagtagas ay nagdudulot ng panganib sa mga karapatan at kalayaan ng mga indibidwal, obligado silang tasahin ito at, kung naaangkop, ipaalam din sa karampatang awtoridad.

Mga praktikal na tip para protektahan ang iyong account

Higit pa sa mga teknikal na paliwanag, ang gustong malaman ng maraming user ay Ano ang kailangan nilang gawin ngayon?Iginiit ng OpenAI na ang pagpapalit ng password ay hindi mahalaga, dahil hindi ito na-leak, ngunit karamihan sa mga eksperto ay nagrerekomenda na mag-apply ng karagdagang layer ng pag-iingat.

Eksklusibong nilalaman - Mag-click Dito Paano i-recover ang iyong digital certificate password nang hakbang-hakbang

Kung gagamitin mo ang OpenAI API, o gusto lang na maging ligtas, ipinapayong sundin ang isang serye ng mga pangunahing hakbang na Sila ay lubhang binabawasan ang panganib na maaaring pagsamantalahan ng isang umaatake ang tumagas na data:

Mag-ingat sa mga hindi inaasahang email na sinasabing mula sa OpenAI o mga serbisyong nauugnay sa API, lalo na kung nagbabanggit sila ng mga termino tulad ng "kagyat na pag-verify", "insidente sa seguridad" o "lockout ng account."
Palaging suriin ang address ng nagpadala at ang domain na itinuturo ng mga link bago mag-click. Kung mayroon kang anumang mga pagdududa, pinakamahusay na i-access ito nang manu-mano. platform.openai.com pag-type ng URL sa browser.
I-enable ang multi-factor authentication (MFA/2FA) sa iyong OpenAI account at anumang iba pang sensitibong serbisyo. Ito ay isang napaka-epektibong hadlang kahit na may nakakuha ng iyong password sa pamamagitan ng panlilinlang.
Huwag magbahagi ng mga password, API key, o verification code sa pamamagitan ng email, chat, o telepono. Ang OpenAI ay nagpapaalala sa mga user na hinding-hindi nito hihilingin ang ganitong uri ng data sa pamamagitan ng mga hindi na-verify na channel.
Halaga baguhin ang iyong password Kung ikaw ay isang mabigat na gumagamit ng API o kung madalas mong gamitin ito muli sa iba pang mga serbisyo, isang bagay na sa pangkalahatan ay pinakamahusay na iniiwasan.

Para sa mga nagpapatakbo mula sa mga kumpanya o namamahala ng mga proyekto na may maraming developer, maaaring ito ay isang magandang panahon upang suriin ang mga patakaran sa panloob na seguridadMga pahintulot sa pag-access ng API at mga pamamaraan sa pagtugon sa insidente, na iniayon ang mga ito sa mga rekomendasyon ng mga cybersecurity team.

Mga aralin sa data, mga third party, at pagtitiwala sa AI

Ang pagtagas ng Mixpanel ay limitado kumpara sa iba pang malalaking insidente sa mga nakaraang taon, ngunit ito ay dumarating sa panahon kung kailan ang Naging karaniwan na ang mga serbisyong generative AI Nalalapat ito sa parehong mga indibidwal at European na kumpanya. Sa tuwing may magrerehistro, magsasama ng API, o mag-upload ng impormasyon sa naturang tool, inilalagay nila ang isang mahalagang bahagi ng kanilang digital na buhay sa mga kamay ng mga third party.

Isa sa mga aral na itinuturo ng kasong ito ay ang pangangailangan bawasan ang personal na data na ibinahagi sa mga external na providerBinibigyang-diin ng ilang eksperto na, kahit na nagtatrabaho sa mga lehitimong at kilalang kumpanya, ang bawat makikilalang piraso ng data na umalis sa pangunahing kapaligiran ay nagbubukas ng bagong potensyal na punto ng pagkakalantad.

Itinatampok din nito ang lawak ng transparent na komunikasyon Ito ang susi. Pinili ng OpenAI na magbigay ng malawak na impormasyon, maging ang pagpapadala ng mga email sa mga hindi apektadong user, na maaaring magdulot ng ilang alarma ngunit, sa turn, ay nag-iiwan ng mas kaunting puwang para sa hinala ng kakulangan ng impormasyon.

Sa isang senaryo kung saan ang AI ay patuloy na isasama sa mga pamamaraang pang-administratibo, pagbabangko, kalusugan, edukasyon, at malayong trabaho sa buong Europa, ang mga insidenteng tulad nito ay nagsisilbing paalala na Ang seguridad ay hindi nakadepende lamang sa pangunahing provider.ngunit sa halip ng buong network ng mga kumpanya sa likod nito. At iyon, kahit na ang paglabag sa data ay hindi kasama ang mga password o pag-uusap, ang panganib ng pandaraya ay nananatiling tunay na totoo kung ang mga pangunahing gawi sa proteksyon ay hindi pinagtibay.

Lahat ng nangyari sa paglabag sa ChatGPT at Mixpanel ay nagpapakita kung paano kahit na ang isang medyo limitadong pagtagas ay maaaring magkaroon ng makabuluhang kahihinatnan: pinipilit nito ang OpenAI na pag-isipang muli ang kaugnayan nito sa mga third party, itinutulak ang mga kumpanya at developer sa Europa na suriin ang kanilang mga kasanayan sa seguridad, at pinapaalalahanan ang mga user na ang kanilang pangunahing depensa laban sa mga pag-atake ay nananatiling may kaalaman. subaybayan ang mga email na natatanggap nila at palakasin ang proteksyon ng kanilang mga account.

Alberto navarro

Isa akong mahilig sa teknolohiya na ginawang propesyon ang kanyang mga "geek" na interes. Ako ay gumugol ng higit sa 10 taon ng aking buhay sa paggamit ng makabagong teknolohiya at pag-iisip sa lahat ng uri ng mga programa dahil sa purong kuryusidad. Ngayon ay nagdadalubhasa na ako sa teknolohiya ng kompyuter at mga video game. Ito ay dahil sa higit sa 5 taon na ako ay sumusulat para sa iba't ibang mga website sa teknolohiya at mga video game, na lumilikha ng mga artikulo na naglalayong ibigay sa iyo ang impormasyong kailangan mo sa isang wika na naiintindihan ng lahat.

Kung mayroon kang anumang mga katanungan, ang aking kaalaman ay mula sa lahat ng nauugnay sa Windows operating system pati na rin ang Android para sa mga mobile phone. At ang aking pangako ay sa iyo, lagi akong handang gumugol ng ilang minuto at tulungan kang lutasin ang anumang mga katanungan na maaaring mayroon ka sa mundo ng internet na ito.