OpenAI je priznao curenje podataka koje je utjecalo na neke korisnike povezane s njegovom razvojnom platformom, nakon jednog od njegovih vanjski pružatelji analiza pretrpio je sigurnosni incident. Iako su mnogi naslovi izravno upućivali na "proboj u ChatGPT-u", sama tvrtka inzistira da njezini temeljni sustavi nisu kompromitirani i da razgovori s chatbotom nisu pogođeni.
Međutim, slučaj ponovno na stol vraća pitanje u kojoj mjeri Oslanjanje na usluge trećih strana može postati slaba karika u sigurnosnom lancu velikih tehnoloških tvrtki, također i u Europski kontekst gdje su usklađenost s GDPR-om i zaštita osobnih podataka posebno osjetljivi.
Što se točno dogodilo s Mixpanelom i OpenAI-jem?
Izvor problema je u Mixpanel, tvrtka za web analitiku koju koristi OpenAI za prikupljanje metrika i telemetrije s vašeg portala platforma.openai.com, pristupnik koji programeri i tvrtke koriste za integraciju API-ja tvrtke u vlastite usluge i aplikacije.
Prema priči podijeljenoj s kupcima, Dana 9. studenog napadač je dobio neovlašteni pristup dijelu infrastrukture Mixpanela. i izvezeno skup podataka što je uključivalo analitičke informacije od nekoliko klijenata, uključujući OpenAI. Analitička tvrtka potom je pokrenula internu istragu i 25. studenog dostavila OpenAI-ju detalje o specifičnim podacima koji su bili otkriveni.
Nakon što je primio tu informaciju, OpenAI je počeo analizirati pravi opseg incidentausmjereno na korisnike povezane s domenom platforma.openai.comDrugim riječima, ovo nisu tipični računi onih koji pristupaju ChatGPT-u samo za chat s weba ili aplikacije, već profili programera, organizacija i administratora s pristupom API-ju.
Tvrtka je već poslala prilagođene e-poruke s obavijestima za pogođene račune, koji detaljno opisuje vrstu podataka koji su potencijalno izloženi i nudi osnovne sigurnosne preporuke, kao i pruža specifične kontaktne kanale za pitanja i pomoć.
Koji su podaci pogođeni, a koji ne
Prema informacijama koje je pružila tvrtka, curenje je ograničeno na analitički i profilirajući podaci povezani s korištenjem API-jabez utjecaja na sadržaj interakcije ili osjetljive vjerodajnice. Polja koja su možda bila ugrožena uključuju:
- ime navedeno u API računu.
- Email adresa povezan s tim računom.
- Približna lokacija izvedeno iz preglednika (grad, regija, država).
- Operativni sustav i preglednik koristi se za pristup razvojnoj platformi.
- Referentne web stranice odakle su stigli do portala.
- Identifikator organizacije ili korisnika povezan s API računom.
OpenAI je u nekoliko navrata naglasio da Nisu otkriveni nikakvi chatovi, poruke poslane ChatGPT-u, API zahtjevi ili detaljni podaci o korištenju.To isključuje mogućnost da su razgovori koje korisnici vode sa sustavom procurili.
Također je inzistirao da Nisu ugrožene lozinke, API ključevi, podaci o plaćanju, podaci za prijavu ili službeni dokumenti. kao što su službeni identifikacijski dokumenti. S tehničkog stajališta, tvrtka vjeruje da Nije bilo upada u njihove vlastite servere.Incident je bio ograničen na okruženje Mixpanela.
Međutim, izložba od kontaktne informacije i metapodaci korištenja To bi moglo biti dovoljno da zlonamjerni akteri pokušaju ciljane phishing kampanje ili kampanje lažnog predstavljanja, posebno protiv razvojnih timova i tehničkih menadžera, segmenata koji često imaju privilegiran pristup kritičnim sustavima.
Kako OpenAI reagira na curenje informacija?
Nakon potvrde opsega kršenja, OpenAI je izjavio da je provođenje šire sigurnosne istrage zajedno s Mixpanelom i drugim tehnološkim partnerima kako bi razumjeli sve aspekte incidenta. Tvrtka je odmah odlučila uklonite Mixpanel iz svojih produkcijskih usluga, prestajući ovisiti o ovoj platformi za prikupljanje analitičkih podataka.
Istovremeno, tvrtka je najavila da će provoditi „dodatne i proširene sigurnosne preglede“ u cijelom ekosustavu aplikacija i pružatelja uslugai da će pojačati sigurnosne zahtjeve za sve treće strane s kojima surađuje. Poruka koju namjerava prenijeti jest da će se podići standard zaštite kako bi se spriječilo da vanjska ranjivost ponovno utječe na korisnike.
U izjavama poslanim pogođenim računima, OpenAI također uključuje izričita isprika za ono što se dogodilo i za neugodnosti koje bi curenje moglo uzrokovati, istovremeno ponavljajući svoju predanost transparentnosti i pravovremenom obavještavanju o svakom incidentu vezanom uz sigurnost podataka.
Tvrtka navodi da, za sada, nije pronašao dokaze o zlouporabi ukradenih informacija izvan Mixpanel okruženja, iako priznaje da i dalje pomno prati sve znakove sumnjive aktivnosti povezane s ovim incidentom.
Rizici za korisnike: phishing, neželjena pošta i ciljani napadi
Iako procurele informacije ne uključuju lozinke ili financijske podatke, Da, to je dovoljno za omogućavanje napada društvenim inženjeringom.Imena, e-mail adrese, približna lokacija i tehnički podaci o uređajima omogućuju napadaču da konstruira poruke koje djeluju vrlo uvjerljivo, posebno ako su usmjerene na profile s tehničkim ili administrativnim odgovornostima.
OpenAI je izričito upozorio da bi pogođeni mogli primiti phishing kampanje ili neželjene e-poruke Ovi napadi oponašaju službene komunikacije same tvrtke ili drugih tehnoloških usluga. Obično pokušavaju prevariti korisnike da kliknu na zlonamjerne poveznice, preuzmu zaražene datoteke ili daju nove pristupne podatke.
Stoga je poruka tvrtke da korisnici, posebno u europskim profesionalnim okruženjima gdje se rukuje osjetljivim informacijama, Budite izuzetno oprezni sa svim neočekivanim e-porukama. koji zahtijeva hitne radnje, promjene lozinke izvan uobičajenih kanala ili validaciju osobnih podataka.
Također preporučuje pažljivu provjeru. adresa e-pošte i domena pošiljatelja s kojih se šalju obavijesti. U slučaju OpenAI-a, legitimna komunikacija mora dolaziti sa službenih domena povezanih s tvrtkom, nikada s generičkih usluga ili adresa koje kombiniraju sumnjiva slova i brojeve.
Osim ovog specifičnog curenja, incident još jednom naglašava važnost Organizacije bi trebale educirati svoje zaposlenike i suradnike o dobrim praksama kibernetičke sigurnosti.To je posebno važno u europskim tvrtkama koje podliježu propisima poput GDPR-a ili NIS2 direktive, gdje neovlašteni pristup može dovesti do kazni i obveza izvještavanja tijelima za zaštitu podataka.
Sigurnosne preporuke za razvojne programere i organizacije
Među mjerama koje preporučuje sam OpenAI, prva se ističe Omogućavanje višefaktorske autentifikacije (MFA) To se odnosi na sve račune, i razvojne i administratorske. Sustav dodaje drugi sloj provjere - na primjer, privremeni kod na vašem mobilnom uređaju ili aplikaciju za autentifikaciju - tako da čak i ako je lozinka kompromitirana, napadaču postaje mnogo teže pristupiti računu.
Tvrtka podsjeća da Nikada ne traži lozinke, API ključeve, verifikacijske kodove ili bankovne podatke putem e-pošte.Svaku poruku koja traži ovu vrstu informacija treba smatrati sumnjivom, a u slučaju sumnje preporučuje se ručni pristup računu putem službene web stranice, a ne putem poveznica primljenih e-poštom.
Radi dodatnog poboljšanja sigurnosti, administratorima se također preporučuje provođenje redovitih pregleda. aktivni pristupi, tokeni i API ključevi omogućene u svojim projektima, poništavajući one koji više nisu potrebni. U europskim okruženjima gdje tvrtke integriraju OpenAI API u vlastite proizvode - na primjer, korporativne chatbotove, interne asistente ili alate za analitiku - održavanje ažurnog popisa dozvola i vjerodajnica postaje ključna praksa.
OpenAI je korisnicima omogućio poseban kanal, mixpanelincident@openai.comZa upite vezane uz ovaj konkretni slučaj, uz uobičajeni kontakt s timovima za račune, obratite se nadležnim odjelima. Na taj način oni koji imaju sumnje u to je li njihova organizacija pogođena mogu zatražiti potvrdu i daljnje upute.
Za mnoge španjolske i europske developere i IT menadžere, ova će epizoda poslužiti kao podsjetnik da Vanjske ovisnosti u oblaku zahtijevaju kontinuirane sigurnosne kontrolekako u samim sustavima tako i u alatima trećih strana koji su integrirani u tijek rada.
Još jedan incident u sigurnosnoj povijesti ChatGPT-a i njegovog ekosustava
Curenje informacija o Mixpanel-u nije prvi neuspjeh koji je OpenAI ekosustav doživio od pokretanja ChatGPT-a. Ožujka 2023, tvrtka je bila prisiljena privremeno isključite uslugu nakon što su istraživači otkrili grešku koja je nekim korisnicima omogućila pregled privatnih podataka drugih korisnika, uključujući djelomične podatke o plaćanju i metapodatke razgovora.
Mjesecima kasnije, istraga tvrtke za kibernetičku sigurnost Group-IB otkrila je da Više od 100.000 uređaja bilo je zaraženo zlonamjernim softverom dizajniran za krađu vjerodajnica Vjerodajnice za prijavu na ChatGPT, uključujući korisnička imena i lozinke, bile su kompromitirane. U tom slučaju nije se radilo o kvaru na OpenAI-jevim poslužiteljima, već o korisničkim računalima kompromitiranim zlonamjernim softverom, no praktični rezultat bio je sličan: neovlašteni pristup računima.
Ove epizode, zajedno s trenutnim incidentom, potaknule su rasprava u Europi o odgovornoj upotrebi generativnih alata umjetne inteligencije U tvrtkama, javnim upravama i obrazovnim ustanovama, regulatorna tijela i tijela za zaštitu podataka pomno ispituju kako se podaci građana prikupljaju, pohranjuju i dijele te koja jamstva nude velike tehnološke platforme.
U tom kontekstu, svaki incident, ma koliko malen, postaje Test otpornosti na stres za sigurnosne i transparentne politike od tvrtki poput OpenAI-a. Način na koji prijavljuju, ispravljaju i sprječavaju buduće kvarove uvelike će odrediti povjerenje koje korisnici, tvrtke i europski regulatori imaju u te usluge.
Tvrtka, sa svoje strane, inzistira na tome Sigurnost i privatnost su prioritet I jamči da će nastaviti jačati kontrole nad vanjskim pružateljima usluga, kao i obavještavati korisnike kada se otkriju rizici. Za one koji se oslanjaju na API u ključnim projektima, ova najnovija epizoda vjerojatno će biti poziv na pregled konfiguracija, vjerodajnica i internih procesa s malo više smirenosti nego inače.
