OpenAI poinformowała o naruszeniu bezpieczeństwa we współpracującej z nią firmie analitycznej. Choć infrastruktura twórców ChatGPT pozostała nienaruszona, incydent u zewnętrznego dostawcy doprowadził do wycieku danych części użytkowników.
- Wyciek danych u partnera OpenAI ujawnił dane kontaktowe użytkowników korzystających z modeli GPT poprzez API.
- W odpowiedzi firma zakończyła umowę z dostawcą, u którego doszło do wycieku, wdraża rygorystyczne kontrole partnerów i zaleca klientom aktywację uwierzytelniania dwuskładnikowego.
Wyciekły dane klientów OpenAI korzystających z platformy API – w tym ich nazwiska i adresy e-mail
W swoim ostatnim oświadczeniu OpenAI informuje o naruszeniu bezpieczeństwa, które nie było wynikiem bezpośredniego ataku na jej serwery, a dotyczyło jednego z partnerów – firmy Mixpanel, dostarczającej twórcom ChatGPT usługi analityczne.
9 listopada, Mixpanel odkryła, że atakujący uzyskał nieuprawniony dostęp do jej systemu, a tym samym – do niektórych danych o użytkownikach OpenAI (takich jak imię i nazwisko, adres e-mail, przybliżona lokalizacja oraz rodzaj przeglądarki i systemu operacyjnego).
Atakujący mógł przejąć tylko dane użytkowników korzystających z technologii OpenAI przez API – czyli osób integrujących modele GPT w tworzonych przez siebie aplikacjach. Naruszenie bezpieczeństwa nie dotyczyło więc użytkowników, którzy korzystają z modeli bezpośrednio na stronie internetowej OpenAI (tj. w standardowym czacie).
Jak zapewnia firma, wyciek nie objął treści rozmów z botami i zapytań do API, haseł, danych uwierzytelniających, danych dotyczących płatności czy kluczy API, co oznacza, że najważniejsze informacje nie trafiły w ręce hakerów (mimo to, OpenAI zaleca użytkownikom włączenie uwierzytelniania dwuskładnikowego).
To jednak nie oznacza, że żadne ryzyko nie istnieje, ponieważ dane mogą zostać wykorzystane w atakach phishingowych. Przestępcy, posiadając listę nazwisk i adresów e-mail użytkowników OpenAI, mogą podszywać się pod firmę, udając oficjalną komunikację w celu wyłudzenia wrażliwych informacji lub zainfekowania urządzeń złośliwym oprogramowaniem.
W odpowiedzi na incydent OpenAI natychmiast odłączyła Mixpanel od swoich systemów produkcyjnych, a po przeprowadzeniu wstępnej analizy, całkowicie zakończyła współpracę z firmą. Zapowiedziano także szeroki przegląd standardów bezpieczeństwa u wszystkich partnerów.
Śledź CrypS. w Google News. Czytaj najważniejsze wiadomości bezpośrednio w Google! Obserwuj ->
Zajrzyj na nasz telegram i dołącz do Crypto. Society. Dołącz ->
