OpenAI potwierdziło naruszenie danych dotykające niektórych użytkowników ChatGPT, ale incydent nie był wynikiem bezpośredniego włamania do systemów OpenAI. Zamiast tego uzyskano nieautoryzowany dostęp do danych użytkownika za pośrednictwem Mixpanel, zewnętrznego dostawcy usług analitycznych, z którego korzysta OpenAI.
Co się stało?
9 listopada napastnicy włamali się do systemu bezpieczeństwa Mixpanel, co spowodowało ujawnienie danych osobowych użytkowników ChatGPT uzyskujących dostęp do platformy za pośrednictwem interfejsów API. Skradzione dane obejmują:
- Nazwy użytkowników
- Adresy e-mail
- Dane lokalizacyjne
- Informacje o systemie operacyjnym
- Dane przeglądarki
Należy pamiętać, że żadne logi czatu, klucze API, szczegóły płatności ani hasła nie zostały naruszone. OpenAI podjęła kroki w celu złagodzenia skutków naruszenia, usuwając Mixpanel z usług produkcyjnych i rozpoczynając dochodzenie w sprawie bezpieczeństwa.
Dlaczego to jest ważne
Chociaż OpenAI upiera się, że podstawowe systemy OpenAI nie zostały zhakowane, incydent ten uwydatnia kluczowe ryzyko w nowoczesnych usługach cyfrowych: zależność od zewnętrznych dostawców. Nawet jeśli firma dużo inwestuje we własne bezpieczeństwo, luki w łańcuchu dostaw mogą prowadzić do wycieku danych użytkowników.
To nie pierwszy raz, kiedy użytkownicy ChatGPT napotykają zagrożenia bezpieczeństwa. W marcu 2023 r. błąd ujawnił dane osobowe niektórych użytkowników, a pod koniec tego samego roku ponad 100 000 urządzeń zostało zainfekowanych złośliwym oprogramowaniem, które ukradło dane logowania ChatGPT. Ten wzorzec pokazuje, że popularność ChatGPT czyni go głównym celem cyberataków, czy to za pośrednictwem samego OpenAI, czy jego partnerów.
Co powinni zrobić użytkownicy
OpenAI radzi użytkownikom, aby uważali na ataki phishingowe lub podejrzane e-maile, ponieważ skradzione dane mogą zostać wykorzystane w atakach socjotechnicznych. Chociaż obecnie nie ma dowodów na molestowanie, zaleca się zachowanie czujności.
Przyszłe środki bezpieczeństwa
OpenAI reaguje, wdrażając bardziej rygorystyczne wymagania bezpieczeństwa dla wszystkich partnerów zewnętrznych i przeprowadzając bardziej rygorystyczne audyty praktyk bezpieczeństwa dostawców. Wyciek ten przypomina, że cyberbezpieczeństwo to proces ciągły, szczególnie w szybko zmieniającym się krajobrazie usług AI.
Ten incydent uwydatnia nieodłączne ryzyko polegania na usługach zewnętrznych, nawet w przypadku firm posiadających silne środki bezpieczeństwa wewnętrznego. Reakcja OpenAI polegająca na usunięciu Mixpanelu i wzmocnieniu bezpieczeństwa dostawców jest niezbędnym krokiem, ale ciągła czujność będzie miała kluczowe znaczenie dla ochrony danych użytkowników w przyszłości.
