OpenAI ha confermato una violazione dei dati che ha interessato alcuni utenti di ChatGPT, sebbene l’incidente non abbia avuto origine da un attacco diretto ai sistemi di OpenAI. Invece, l’accesso non autorizzato ai dati degli utenti è stato ottenuto tramite Mixpanel, un fornitore di analisi di terze parti utilizzato da OpenAI.
Quello che è successo?
Il 9 novembre, gli aggressori hanno violato la sicurezza di Mixpanel, esponendo i dettagli personali degli utenti ChatGPT che accedono alla piattaforma tramite interfacce API. I dati rubati includono:
- Nomi utente
- Indirizzi e-mail
- Dati sulla posizione
- Dettagli del sistema operativo
- Informazioni sul browser
Fondamentalmente, nessun registro di chat, chiave API, dettagli di pagamento o password sono stati compromessi. OpenAI ha adottato misure per mitigare la violazione rimuovendo Mixpanel dai suoi servizi di produzione e avviando un’indagine sulla sicurezza.
Perché è importante
Sebbene OpenAI insista nel sostenere che non sono stati violati i sistemi principali di OpenAI, questo incidente sottolinea un rischio chiave dei moderni servizi digitali: la dipendenza da fornitori di terze parti. Anche se un’azienda investe molto nella propria sicurezza, le vulnerabilità nella sua catena di fornitura possono esporre i dati degli utenti.
Questa non è la prima volta che gli utenti di ChatGPT si trovano ad affrontare rischi per la sicurezza. Nel marzo 2023, un bug ha rivelato i dettagli privati di alcuni utenti e, nello stesso anno, oltre 100.000 dispositivi sono stati infettati da malware che rubavano le credenziali di accesso a ChatGPT. Lo schema suggerisce che la popolarità di ChatGPT lo rende un obiettivo primario per gli attacchi informatici, sia attraverso OpenAI stesso che attraverso i suoi partner.
Cosa dovrebbero fare gli utenti
OpenAI consiglia agli utenti di prestare attenzione ai tentativi di phishing o alle e-mail sospette, poiché i dati rubati potrebbero essere utilizzati in attacchi di ingegneria sociale. Sebbene al momento non vi siano prove di uso improprio, si raccomanda vigilanza.
Misure di sicurezza future
OpenAI sta rispondendo implementando requisiti di sicurezza più severi per tutti i partner terzi e conducendo revisioni più approfondite delle pratiche di sicurezza dei fornitori. Questa violazione serve a ricordare che la sicurezza informatica è un processo continuo, soprattutto nel panorama in rapida evoluzione dei servizi di intelligenza artificiale.
L’incidente evidenzia i rischi intrinseci del fare affidamento su servizi esterni, anche per le aziende con solide misure di sicurezza interna. La risposta di OpenAI, ovvero la rimozione di Mixpanel e il rafforzamento della sicurezza dei fornitori, è un passo necessario, ma una vigilanza costante sarà fondamentale per proteggere i dati degli utenti in futuro.
