OpenAI telah mengkonfirmasi pelanggaran data yang mempengaruhi beberapa pengguna ChatGPT, meskipun insiden tersebut tidak berasal dari peretasan langsung terhadap sistem OpenAI sendiri. Sebaliknya, akses tidak sah ke data pengguna diperoleh melalui Mixpanel, penyedia analisis pihak ketiga yang digunakan OpenAI.
Apa yang telah terjadi?
Pada tanggal 9 November, penyerang melanggar keamanan Mixpanel, memperlihatkan detail pribadi pengguna ChatGPT yang mengakses platform melalui antarmuka API. Data yang dicuri meliputi:
- Nama pengguna
- Alamat email
- Data lokasi
- Detail sistem operasi
- Informasi peramban
Yang terpenting, tidak ada log obrolan, kunci API, detail pembayaran, atau kata sandi yang disusupi. OpenAI telah mengambil langkah-langkah untuk memitigasi pelanggaran tersebut dengan menghapus Mixpanel dari layanan produksinya dan meluncurkan penyelidikan keamanan.
Mengapa Ini Penting
Meskipun OpenAI menegaskan tidak ada sistem inti OpenAI yang dilanggar, insiden ini menggarisbawahi risiko utama layanan digital modern: ketergantungan pada vendor pihak ketiga. Sekalipun sebuah perusahaan berinvestasi besar-besaran pada keamanannya sendiri, kerentanan dalam rantai pasokannya dapat mengekspos data pengguna.
Ini bukan pertama kalinya pengguna ChatGPT menghadapi risiko keamanan. Pada bulan Maret 2023, sebuah bug mengungkap detail pribadi beberapa pengguna, dan pada akhir tahun itu, lebih dari 100.000 perangkat terinfeksi malware yang mencuri kredensial login ChatGPT. Pola tersebut menunjukkan bahwa popularitas ChatGPT menjadikannya target utama serangan siber, baik melalui OpenAI sendiri maupun mitranya.
Yang Harus Dilakukan Pengguna
OpenAI menyarankan pengguna untuk berhati-hati terhadap upaya phishing atau email mencurigakan, karena data yang dicuri dapat digunakan dalam serangan rekayasa sosial. Meskipun saat ini tidak ada bukti penyalahgunaan, kewaspadaan dianjurkan.
Tindakan Keamanan di Masa Depan
OpenAI meresponsnya dengan menerapkan persyaratan keamanan yang lebih ketat untuk semua mitra pihak ketiga dan melakukan tinjauan yang lebih menyeluruh terhadap praktik keamanan vendor. Pelanggaran ini mengingatkan bahwa keamanan siber adalah proses yang berkelanjutan, terutama dalam lanskap layanan AI yang berkembang pesat.
Insiden ini menyoroti risiko yang melekat pada ketergantungan pada layanan eksternal, bahkan bagi perusahaan dengan sistem keamanan internal yang kuat. Respons OpenAI—menghapus Mixpanel dan memperketat keamanan vendor—merupakan langkah penting, namun kewaspadaan berkelanjutan akan sangat penting untuk melindungi data pengguna di masa depan.
