Az OpenAI megerősítette, hogy biztonsági incidens történt, amely egy harmadik fél analitikai szolgáltatóját, a Mixpanelt érinti.
A ChatGPT-t fejlesztő OpenAI megerősítette, hogy biztonsági incidens történt, és közölte, hogy nem az ő hibájuk.
Az adatszivárgás egy harmadik fél analitikai szolgáltatóját, a Mixpanelt érinti, és az API-platformjához kapcsolódó, korlátozott mennyiségű felhasználói adat kitettségét eredményezte.
„Ez nem az OpenAI rendszereinek megsértése volt. Nem kompromittálódtak és nem kerültek nyilvánosságra csevegések, API-kérések, API-használati adatok, jelszavak, hitelesítési adatok, API-kulcsok, fizetési adatok vagy kormányzati azonosítók.” A vállalat erről csütörtökön, a felhasználóknak küldött értesítő e-mailben tájékoztatott.
Az OpenAI közlése szerint a Mixpanel állítólag november 9-én észlelte a támadót.
A támadó jogosulatlanul hozzáfért a Mixpanel rendszereinek egy részéhez, és exportált egy adatkészletet, amely korlátozottan azonosítható ügyféladatokat és elemzési adatokat tartalmazott.
Az OpenAI szerint az érintett információk nevekre, e-mail-címekre és felhasználói azonosítókra korlátozódtak.
Az OpenAI közölte, hogy megszüntette a Mixpanel használatát, és megerősítette, hogy a szivárgást nem az OpenAI rendszereinek sérülékenysége okozta.
Mit jelent ez az adataira nézve?
A vállalat közölte, hogy kivizsgálja az adatszivárgást, és arra kérte a felhasználókat, hogy legyenek különösen éberek az adathalász jellegű támadásokkal és a társadalmi mérnökségen alapuló csalásokkal szemben, amelyek megpróbálhatják kihasználni az ellopott adatokat.
A felhasználókat arra biztatták, hogy a fiókjaik védelme érdekében kapcsolják be a többfaktoros hitelesítést.
Bár az OpenAI szerint a ChatGPT-vel folytatott beszélgetések nem kerültek nyilvánosságra, az eset emlékeztet arra, milyen sok személyes adathoz fér hozzá az OpenAI, miközben az emberek kitárulkoznak a chatbotoknak.
Az OpenAI közölte, hogy minden külső partner számára szigorúbb biztonsági követelményeket tervez előírni.
Noha az OpenAI Mixpanel-analitikájának használata bevett gyakorlat, olyan adatokat is követtek, mint az e-mail-címek és a tartózkodási hely, amelyek nem voltak szükségesek a termék fejlesztéséhez. Ez potenciálisan sérthette a GDPR adatminimalizálási elvét, mondta Moshe Siman Tov Bustan, az OX Security nevű MI-biztonsági cég biztonsági kutatócsoportjának vezetője.
„A vállalatoknak, az OpenAI-hoz hasonló techóriásoktól az egyszemélyes startupokig, mindig törekedniük kell arra, hogy a harmadik feleknek küldött ügyféladatokat a kelleténél is jobban védjék és anonimizálják, hogy elkerüljék az ilyen információk ellopását vagy kiszivárgását,” mondta az Euronews Nextnek.
„Még akkor is, ha legitim, ellenőrzött beszállítókat használnak, minden kifelé küldött, azonosítható adat újabb potenciális kitettségi pontot teremt.”