OpenAI підтвердив витік даних, який вплинув на деяких користувачів ChatGPT, але інцидент не був результатом прямого злому власних систем OpenAI. Натомість несанкціонований доступ до даних користувача було отримано через Mixpanel, стороннього постачальника аналітики, який використовує OpenAI.
Що трапилося?
9 листопада зловмисники зламали систему безпеки Mixpanel, що призвело до розкриття особистої інформації користувачів ChatGPT, які отримували доступ до платформи через API. Викрадені дані включають:
- Імена користувачів
- Адреси електронної пошти
- Дані про місцезнаходження
- Інформація про операційну систему
- Дані браузера
Важливо зазначити, що журнали чату, ключі API, платіжні дані чи паролі не були зламані. OpenAI вжив заходів для пом’якшення впливу злому, видаливши Mixpanel із виробничих служб і розпочавши розслідування безпеки.
Чому це важливо
Хоча OpenAI наполягає на тому, що основні системи OpenAI не були зламані, цей інцидент підкреслює ключовий ризик сучасних цифрових послуг: залежність від сторонніх постачальників. Навіть якщо компанія вкладає значні кошти у власну безпеку, вразливі місця в ланцюжку постачання можуть призвести до витоку даних користувачів.
Користувачі ChatGPT не вперше стикаються з ризиками безпеки. У березні 2023 року помилка розкрила особисту інформацію деяких користувачів, а пізніше того ж року понад 100 000 пристроїв було заражено зловмисним програмним забезпеченням, яке викрадає облікові дані для входу в ChatGPT. Цей шаблон показує, що популярність ChatGPT робить його основною мішенню для кібератак, як через сам OpenAI, так і через його партнерів.
Що мають робити користувачі
OpenAI радить користувачам остерігатися фішингових атак або підозрілих електронних листів, оскільки викрадені дані можуть бути використані для атак соціальної інженерії. Хоча доказів зловживань наразі немає, радимо залишатися пильними.
Майбутні заходи безпеки
OpenAI реагує на це, запроваджуючи суворіші вимоги безпеки для всіх сторонніх партнерів і проводячи більш суворі перевірки практики безпеки постачальників. Цей витік служить нагадуванням про те, що кібербезпека є безперервним процесом, особливо у швидко мінливому ландшафті послуг ШІ.
Цей інцидент підкреслює невід’ємні ризики покладатися на зовнішні служби, навіть для компаній із жорсткими внутрішніми заходами безпеки. Відповідь OpenAI на видалення Mixpanel і посилення безпеки постачальників є необхідним кроком, але постійна пильність буде критично важливою для захисту даних користувачів у майбутньому.
