ChatGPT veri ihlali: Mixpanel'de neler yaşandı ve bu durum sizi nasıl etkiliyor?

Kullanıcılar ChatGPT Son birkaç saat içinde, birden fazla kaşı kaldıran bir e-posta aldılar: OpenAI, API platformuyla bağlantılı bir veri ihlali bildirdiUyarı, doğrudan etkilenmeyen kişiler de dahil olmak üzere geniş bir kitleye ulaştı. biraz karışıklığa yol açtı olayın gerçek boyutu hakkında.

Şirketin doğruladığı şey, bir bazı müşterilerin bilgilerine yetkisiz erişimAma sorun OpenAI'nin sunucularında değil,... MixpanelAPI arayüzü kullanım metriklerini toplayan üçüncü taraf bir web analitiği sağlayıcısı platform.openai.comAncak dava yine konuyu yeniden gündeme getiriyor. Yapay zeka servislerinde kişisel verilerin nasıl yönetildiğine dair tartışmalar, Avrupa'da ve şemsiyesi altında da RGPD.

Mixpanel'de bir hata var, OpenAI sistemlerinde değil

OpenAI'nin açıklamasında ayrıntılı olarak açıklandığı gibi, olay şu tarihte başladı: Kasım 9Mixpanel bir saldırganın erişim sağladığını tespit ettiğinde altyapısının bir kısmına yetkisiz erişim ve analiz için kullanılan bir veri kümesini dışa aktarmıştı. Bu haftalar boyunca, tedarikçi hangi bilgilerin tehlikeye atıldığını belirlemek için dahili bir soruşturma yürüttü.

Mixpanel daha fazla netliğe kavuşunca, 25 Kasım'da OpenAI'ye resmen bildirildiEtkilenen veri setinin, şirketin kendi müşterileri üzerindeki etkiyi değerlendirebilmesi için gönderilmesi. Ancak o zaman OpenAI verileri çapraz referanslamaya başladı, potansiyel olarak ilgili hesapları tespit edin ve günümüzde dünya çapında binlerce kullanıcıya ulaşan e-posta bildirimlerini hazırlayın.

OpenAI şunu iddia ediyor: Sunucularına, uygulamalarına veya veritabanlarına herhangi bir müdahale yapılmadıSaldırgan, ChatGPT'ye veya şirketin dahili sistemlerine değil, analitik veri toplayan bir sağlayıcının ortamına erişim sağladı. Yine de, son kullanıcı için pratik sonuç aynı: Verilerinin bir kısmı olmaması gereken yerlere gitti.

Bu tür senaryolar, siber güvenlikte bir saldırıya maruz kalma olarak bilinen duruma girer. dijital tedarik zinciriSuçlular doğrudan ana platforma saldırmak yerine, o platformdan veri işleyen ve genellikle daha az sıkı güvenlik kontrollerine sahip olan üçüncü bir tarafı hedef alıyor.

İlgili makale:

Yapay zeka asistanları hangi verileri toplar ve gizliliğinizi nasıl korursunuz?

Hangi kullanıcılar gerçekten etkilendi?

En çok şüphe uyandıran noktalardan biri, kimin gerçekten endişe duyması gerektiğidir. OpenAI bu konuda oldukça nettir: Bu boşluk yalnızca OpenAI API'sini kullananları etkiliyor Web üzerinden platform.openai.comYani esas olarak geliştiriciler, şirketler ve kuruluşlar şirketin modellerini kendi uygulamalarına ve hizmetlerine entegre edenler.

Tarayıcıda veya uygulamada yalnızca ara sıra sorular sormak veya kişisel görevler için ChatGPT'nin normal sürümünü kullanan kullanıcılar, Doğrudan etkilenmeyeceklerdi Şirketin tüm açıklamalarında da vurguladığı gibi, olay nedeniyle OpenAI, şeffaflık adına bilgilendirme e-postasını çok geniş bir kitleye göndermeyi tercih etti ve bu durum, olayla ilgisi olmayan birçok kişiyi endişelendirdi.

API söz konusu olduğunda, bunun arkasında genellikle şu durum vardır: profesyonel projeler, kurumsal entegrasyonlar veya ticari ürünlerBu durum Avrupa şirketleri için de geçerli. Sağlanan bilgilere göre, bu sağlayıcıyı kullanan kuruluşlar arasında hem büyük teknoloji şirketleri hem de küçük girişimler yer alıyor. Bu da dijital ekosistemdeki herhangi bir oyuncunun analitik veya izleme hizmetlerini dış kaynak kullanımı yoluyla aldığında savunmasız olduğu fikrini güçlendiriyor.

Hukuki açıdan bakıldığında, Avrupa'daki müşteriler için bunun bir ihlal olduğu önemlidir. tedavi sorumlusu kişi OpenAI adına veri işleyen (Mixpanel). Bu, GDPR düzenlemelerine uygun olarak etkilenen kuruluşlara ve uygun durumlarda veri koruma yetkililerine bildirimde bulunulmasını gerektirir.

Hangi veriler sızdırıldı ve hangi veriler güvende kaldı?

Kullanıcı açısından asıl soru, ne tür bilgilerin dışarıda bırakıldığıdır. OpenAI ve Mixpanel bunun... profil verileri ve temel telemetri, analitik için yararlıdır, ancak yapay zeka ile etkileşimlerin içeriği veya erişim kimlik bilgileri için yararlı değildir.

Arasında potansiyel olarak açığa çıkmış veriler API hesaplarıyla ilgili aşağıdaki öğeler bulunur:

• isim API'ye hesap kaydı yapılırken sağlanır.
• E o hesapla ilişkili.
• Yaklaşık konum (şehir, il veya eyalet ve ülke), tarayıcıdan ve IP adresinden çıkarılmıştır.
• İşletim sistemi ve tarayıcı erişmek için kullanılır platform.openai.com.
• Referans web siteleri (yönlendirenler) API arayüzüne ulaşılan yer.
• Dahili kullanıcı veya kuruluş tanımlayıcıları API hesabına bağlı.

Bu araç seti tek başına kimsenin bir hesabın kontrolünü ele geçirmesine veya kullanıcı adına API çağrıları yürütmesine izin vermez; ancak kullanıcının kim olduğu, nasıl bağlandığı ve hizmeti nasıl kullandığı hakkında oldukça eksiksiz bir profil sunar. sosyal mühendislikBu veriler son derece ikna edici e-postalar veya mesajlar hazırlarken altın değerinde olabilir.

Aynı zamanda OpenAI, bir bilgi bloğunun var olduğunu vurguluyor tehlikeye atılmadıŞirkete göre güvende kalmaya devam ediyorlar:

• Sohbet konuşmaları ChatGPT ile istemler ve yanıtlar dahil.
• API istekleri ve kullanım günlükleri (oluşturulan içerik, teknik parametreler, vb.)
• Parolalar, kimlik bilgileri ve API anahtarları hesapların.
• Ödeme BilgileriKart numaraları veya fatura bilgileri gibi.
• Resmi kimlik belgeleri veya diğer özellikle hassas bilgiler.

Başka bir deyişle, olay şu kapsamdadır: tanımlayıcı ve bağlamsal verilerAncak yapay zeka ile yapılan görüşmelere veya üçüncü tarafların hesaplar üzerinde doğrudan işlem yapmasına olanak sağlayacak anahtarlara dokunulmadı.

Başlıca riskler: kimlik avı ve sosyal mühendislik

Saldırganın parolaları veya API anahtarları olmasa bile, bunlara sahip olmak ad, e-posta adresi, konum ve dahili tanımlayıcılar başlatmaya izin verir dolandırıcılık kampanyaları çok daha güvenilir. OpenAI ve güvenlik uzmanları çalışmalarını bu noktaya odaklıyor.

Bu bilgiler tabloda yer aldığında, meşru görünen bir mesaj oluşturmak kolaydır: OpenAI'nin iletişim tarzını taklit eden e-postalarAPI'den bahsediyorlar, kullanıcıyı adıyla anıyorlar ve hatta uyarının daha gerçekçi görünmesi için bulundukları şehir veya ülkeye bile atıfta bulunuyorlar. Kullanıcıyı sahte bir web sitesinde kimlik bilgilerini vermeye kandırabiliyorsanız, altyapıya saldırmanıza gerek yok.

En olası senaryolar şunları içerir: klasik kimlik avı (hesabı doğrulamak için sözde API yönetim panellerine bağlantılar) ve API'yi yoğun olarak kullanan şirketlerdeki kuruluşların veya BT ekiplerinin yöneticilerine yönelik daha ayrıntılı sosyal mühendislik teknikleriyle.

Avrupa'da bu nokta doğrudan GDPR gereklilikleriyle bağlantılıdır veri minimizasyonuAvrupa medyasında yer alan OX Security ekibi gibi bazı siber güvenlik uzmanları, ürün analitiği için kesinlikle gerekenden daha fazla bilgi toplamanın (örneğin, e-postalar veya ayrıntılı konum verileri) mümkün olduğunca işlenen veri miktarını sınırlama yükümlülüğüyle çelişebileceğine dikkat çekiyor.

OpenAI'nin yanıtı: Mixpanel'e ara verilmesi ve kapsamlı bir inceleme

OpenAI, olayın teknik ayrıntılarını aldıktan sonra kararlı bir şekilde tepki vermeye çalıştı. İlk önlem şuydu: Mixpanel entegrasyonunu tamamen kaldırın Tüm üretim hizmetlerinin, sağlayıcının kullanıcılar tarafından üretilen yeni verilere erişimini engelleyecek şekilde düzenlenmesi.

Şirket aynı zamanda şunu belirtiyor: etkilenen veri setini kapsamlı bir şekilde inceliyor Her hesap ve kuruluş üzerindeki gerçek etkiyi anlamak için. Bu analize dayanarak, bireysel olarak bildirmek Saldırganın dışa aktardığı veri setinde görünen yöneticilere, şirketlere ve kullanıcılara.

OpenAI ayrıca başladığını iddia ediyor tüm sistemlerinde ve diğer tüm harici sağlayıcılarda ek güvenlik kontrolleri kiminle çalıştığını. Amaç, koruma gerekliliklerini artırmak, sözleşme maddelerini güçlendirmek ve bu üçüncü tarafların bilgileri nasıl toplayıp sakladığını daha titiz bir şekilde denetlemektir.

Şirket, iletişimlerinde “güven, emniyet ve gizlilikBunlar, misyonlarının temel unsurlarıdır. Söylemin ötesinde, bu vaka, görünüşte ikincil bir etkendeki bir ihlalin, ChatGPT gibi devasa bir hizmetin algılanan güvenliği üzerinde nasıl doğrudan bir etkiye sahip olabileceğini göstermektedir.

İspanya ve Avrupa'daki kullanıcılar ve işletmeler üzerindeki etkisi

Avrupa bağlamında, GDPR ve gelecekteki yapay zekaya özgü düzenlemeler Veri koruma konusunda çıtayı yüksek tutuyorlar ve bu tür olaylar dikkatle inceleniyor. Avrupa Birliği sınırları içinde OpenAI API'sini kullanan herhangi bir şirket için, bir analiz sağlayıcısının veri ihlali hiç de önemsiz bir mesele değil.

Öte yandan, API'nin parçası olan Avrupa veri denetleyicilerinin, etki değerlendirmelerini ve faaliyet kayıtlarını gözden geçirin Mixpanel gibi sağlayıcıların kullanımının nasıl tanımlandığını ve kendi kullanıcılarına sağlanan bilgilerin yeterince açık olup olmadığını kontrol etmek.

Öte yandan, kurumsal e-postaların, konumların ve kurumsal tanımlayıcıların açığa çıkması, Geliştirme ekiplerine, BT departmanlarına veya yapay zeka proje yöneticilerine yönelik hedefli saldırılarBu durum yalnızca bireysel kullanıcılar için değil, aynı zamanda kritik iş süreçlerini OpenAI modellerine dayandıran şirketler için de potansiyel riskler anlamına geliyor.

İspanya'da bu tür bir boşluk giderek radarımıza giriyor İspanyol Veri Koruma Ajansı (AEPD) İkamet eden vatandaşları veya ulusal topraklarda yerleşik kuruluşları etkiledikleri takdirde. Etkilenen kuruluşlar, sızıntının bireylerin hak ve özgürlükleri açısından bir risk oluşturduğunu düşünürlerse, bunu değerlendirmek ve uygun durumlarda yetkili makamlara bildirmekle yükümlüdürler.

Hesabınızı korumak için pratik ipuçları

Teknik açıklamaların ötesinde, birçok kullanıcının bilmek istediği şey şudur: Peki şimdi ne yapmaları gerekiyor?OpenAI, şifrenin sızdırılmaması nedeniyle değiştirilmesinin şart olmadığını savunuyor ancak çoğu uzman ekstra bir önlem alınmasını öneriyor.

OpenAI API'sini kullanıyorsanız veya sadece güvenli tarafta olmak istiyorsanız, bir dizi temel adımı izlemeniz önerilir. Riski önemli ölçüde azaltırlar Bir saldırganın sızdırılan verileri istismar edebileceğini:

• Beklenmedik e-postalara karşı dikkatli olun Özellikle "acil doğrulama", "güvenlik olayı" veya "hesap kilitleme" gibi terimlerden bahsediyorlarsa, OpenAI veya API ile ilgili hizmetlerden geldiğini iddia edenler.
• Gönderenin adresini her zaman kontrol edin ve tıklamadan önce bağlantıların işaret ettiği alan adını kontrol edin. Herhangi bir şüpheniz varsa, manuel olarak erişmeniz en iyisidir. platform.openai.com URL'yi tarayıcıya yazarak.
• Çok faktörlü kimlik doğrulamayı (MFA/2FA) etkinleştirin OpenAI hesabınızda ve diğer hassas hizmetlerinizde. Birisi hile yoluyla şifrenizi ele geçirse bile, bu çok etkili bir engeldir.
• Şifreleri, API anahtarlarını veya doğrulama kodlarını paylaşmayın e-posta, sohbet veya telefon yoluyla. OpenAI, kullanıcılarına bu tür verileri asla doğrulanmamış kanallar aracılığıyla talep etmeyeceğini hatırlatır.
• Değer Şifreni değiştir Eğer API'yi yoğun bir şekilde kullanıyorsanız veya onu diğer servislerde tekrar kullanma eğilimindeyseniz, bu genellikle kaçınılması gereken bir şeydir.

Şirketler üzerinden faaliyet gösteren veya birden fazla geliştiricinin yer aldığı projeleri yönetenler için bu, iç güvenlik politikalarını gözden geçirmekAPI erişim izinleri ve olay müdahale prosedürlerinin siber güvenlik ekiplerinin önerileriyle uyumlu hale getirilmesi.

Veri, üçüncü taraflar ve yapay zekaya güven üzerine dersler

Mixpanel sızıntısı son yıllardaki diğer büyük olaylarla karşılaştırıldığında sınırlı kaldı, ancak şu anda... Üretken yapay zeka hizmetleri yaygınlaştı Bu durum hem bireyler hem de Avrupa şirketleri için geçerlidir. Birisi kaydolduğunda, bir API entegre ettiğinde veya böyle bir araca bilgi yüklediğinde, dijital yaşamının önemli bir bölümünü üçüncü tarafların eline bırakmış olur.

Bu davanın öğrettiği derslerden biri de şu: harici sağlayıcılarla paylaşılan kişisel verileri en aza indirinBirçok uzman, meşru ve tanınmış şirketlerle çalışılsa bile, ana ortamdan çıkan her tanımlanabilir veri parçasının yeni bir potansiyel maruz kalma noktası açtığını vurguluyor.

Ayrıca, bunun ne ölçüde gerçekleştiğini de vurgulamaktadır. şeffaf iletişim Bu önemli. OpenAI, etkilenmemiş kullanıcılara e-postalar göndererek bile geniş bilgi sağlamayı tercih etti; bu durum biraz endişe yaratabilir, ancak bilgi eksikliği şüphesine daha az yer bırakıyor.

Yapay zekanın Avrupa genelinde idari prosedürlere, bankacılığa, sağlığa, eğitime ve uzaktan çalışmaya entegre olmaya devam edeceği bir senaryoda, bu gibi olaylar bir hatırlatma görevi görüyor: Güvenlik yalnızca ana sağlayıcıya bağlı değildir.Daha ziyade, arkasındaki tüm şirket ağının. Ve veri ihlali parolaları veya konuşmaları içermese bile, temel koruma alışkanlıkları benimsenmezse dolandırıcılık riski çok gerçek olmaya devam ediyor.

ChatGPT ve Mixpanel ihlallerinde yaşananlar, nispeten küçük bir sızıntının bile önemli sonuçlara yol açabileceğini gösteriyor: OpenAI'yi üçüncü taraflarla ilişkilerini yeniden düşünmeye zorluyor, Avrupa şirketlerini ve geliştiricilerini güvenlik uygulamalarını gözden geçirmeye zorluyor ve kullanıcılara saldırılara karşı temel savunmalarının bilgi sahibi olmak olduğunu hatırlatıyor. aldıkları e-postaları izleyin ve hesaplarının korumasını güçlendirin.

Alberto navarro

Ben "inek" merakını mesleğe dönüştürmüş bir teknoloji tutkunuyum. Hayatımın 10 yıldan fazlasını en son teknolojiyi kullanarak ve sırf merakımdan dolayı her türlü programı kurcalayarak geçirdim. Artık bilgisayar teknolojisi ve video oyunları konusunda uzmanlaştım. Bunun nedeni, 5 yılı aşkın bir süredir teknoloji ve video oyunlarıyla ilgili çeşitli web sitelerinde yazılar yazıyor olmam ve ihtiyacınız olan bilgileri herkesin anlayabileceği bir dilde size vermeye çalışan makaleler oluşturmamdır.

Sorularınız varsa bilgim Windows işletim sistemi ve cep telefonları için Android ile ilgili her şeyi kapsar. Ve size olan bağlılığımdır, her zaman birkaç dakikamı ayırmaya ve bu internet dünyasında aklınıza gelebilecek her türlü soruyu çözmenize yardımcı olmaya hazırım.