OpenAI je priznao curenje podataka koje je uticalo na neke korisnike povezane s njegovom razvojnom platformom, nakon jednog od njegovih vanjski pružatelji analiza pretrpio je sigurnosni incident. Iako su mnogi naslovi direktno ukazivali na "kršenje ChatGPT-a", sama kompanija insistira da njeni osnovni sistemi nisu kompromitovani i da razgovori s chatbotom nisu pogođeni.
Međutim, ovaj slučaj ponovo na pretres vraća pitanje u kojoj mjeri Oslanjanje na usluge trećih strana može postati slaba karika u sigurnosnom lancu velikih tehnoloških kompanija, također i u Evropski kontekst gdje su usklađenost s GDPR-om i zaštita ličnih podataka posebno osjetljivi.
Šta se tačno dogodilo sa Mixpanelom i OpenAI-jem?
Poreklo problema je u Mixpanel, kompanija za web analitiku koju koristi OpenAI za prikupljanje metrika i telemetrije s vašeg portala platform.openai.com, prolaz koji programeri i kompanije koriste za integraciju API-ja kompanije u vlastite usluge i aplikacije.
Prema priči podijeljenoj s kupcima, Dana 9. novembra, napadač je dobio neovlašteni pristup dijelu infrastrukture Mixpanela. i izvezao skup podataka ...što je uključivalo analitičke informacije od nekoliko klijenata, uključujući OpenAI. Analitička firma je potom pokrenula internu istragu i, 25. novembra, dostavila OpenAI-ju detalje o specifičnim podacima koji su bili otkriveni.
Nakon što je primio tu informaciju, OpenAI je počeo analizirati pravi obim incidentafokusirano na korisnike povezane s domenom platform.openai.comDrugim riječima, ovo nisu tipični računi onih koji pristupaju ChatGPT-u samo za chat s weba ili aplikacije, već profili programera, organizacija i administratora s pristupom API-ju.
Kompanija je već poslala prilagođene e-poruke s obavijestima za pogođene račune, koji detaljno opisuje vrstu podataka koji su potencijalno izloženi i nudi osnovne sigurnosne preporuke, kao i pruža specifične kontaktne kanale za pitanja i pomoć.
Koji su podaci pogođeni, a koji ne
Prema informacijama koje je dala kompanija, curenje je ograničeno na analitički i profilirajući podaci povezani s korištenjem API-jabez utjecaja na sadržaj interakcije ili osjetljive podatke za prijavu. Polja koja su možda kompromitovana uključuju:
- ime navedeno u API računu.
- E-mail adresa povezan s tim računom.
- Približna lokacija izvedeno iz pretraživača (grad, regija, država).
- Operativni sistem i preglednik koristi se za pristup razvojnoj platformi.
- Referentne web stranice odakle su stigli do portala.
- Identifikator organizacije ili korisnika povezan s API računom.
OpenAI je u nekoliko navrata naglasio da Nisu otkriveni nikakvi chatovi, poruke poslane na ChatGPT, API zahtjevi ili detaljni podaci o korištenju.Ovo isključuje mogućnost da su razgovori koje korisnici vode sa sistemom procurili.
Također je insistirao da Nisu kompromitirane lozinke, API ključevi, podaci o plaćanju, podaci za prijavu ili službeni dokumenti. kao što su identifikacija od strane vlade. Sa tehničke tačke gledišta, kompanija smatra da Nije bilo upada u njihove vlastite servere.Incident je bio ograničen na okruženje Mixpanela.
Međutim, izložba od kontakt informacije i metapodaci o korištenju Ovo može biti dovoljno da zlonamjerni akteri pokušaju ciljane phishing ili kampanje lažnog predstavljanja, posebno protiv razvojnih timova i tehničkih menadžera, segmenata koji često imaju privilegovan pristup kritičnim sistemima.
Kako OpenAI reaguje na curenje informacija?
Nakon potvrde obima kršenja, OpenAI je izjavio da je provođenje šire sigurnosne istrage zajedno s Mixpanelom i drugim tehnološkim partnerima kako bi razumjeli sve aspekte incidenta. Kompanija je odmah odlučila uklonite Mixpanel iz svojih produkcijskih usluga, prestajući da se oslanjaju na ovu platformu za prikupljanje analitičkih podataka.
Istovremeno, kompanija je najavila da će provesti "dodatne i proširene sigurnosne preglede" u cijelom ekosistemu aplikacija i pružatelja uslugai da će pojačati sigurnosne zahtjeve za sve treće strane s kojima sarađuje. Poruka koju namjerava prenijeti je da će se standard zaštite podići kako bi se spriječilo da vanjska ranjivost ponovo utiče na korisnike.
U izjavama poslanim pogođenim računima, OpenAI također uključuje eksplicitno izvinjenje za ono što se dogodilo i zbog neugodnosti koje bi curenje podataka moglo uzrokovati, istovremeno ponavljajući svoju posvećenost transparentnosti i brzom obavještavanju o svakom incidentu vezanom za sigurnost podataka.
Kompanija navodi da, za sada, nije pronašao dokaze o zloupotrebi ukradenih informacija izvan Mixpanel okruženja, iako priznaje da i dalje pomno prati sve znakove sumnjivih aktivnosti povezanih s ovim incidentom.
Rizici za korisnike: phishing, neželjena pošta i ciljani napadi
Iako procurele informacije ne uključuju lozinke ili finansijske podatke, Da, to je dovoljno da omogući napade socijalnim inženjeringom.Imena, e-mail adrese, približna lokacija i tehnički podaci o uređajima omogućavaju napadaču da konstruiše poruke koje djeluju vrlo uvjerljivo, posebno ako su usmjerene na profile s tehničkim ili administrativnim odgovornostima.
OpenAI je izričito upozorio da bi pogođeni mogli dobiti phishing kampanje ili neželjene e-poruke Ovi napadi imitiraju službenu komunikaciju same kompanije ili drugih tehnoloških usluga. Obično pokušavaju prevariti korisnike da kliknu na zlonamjerne linkove, preuzmu zaražene datoteke ili daju nove pristupne podatke.
Stoga je poruka kompanije da korisnici, posebno u evropskim profesionalnim okruženjima gdje se rukuje osjetljivim informacijama, Budite izuzetno oprezni sa svim neočekivanim e-porukama. koji zahtijeva hitne akcije, promjene lozinke izvan uobičajenih kanala ili validaciju ličnih podataka.
Također preporučuje pažljivu provjeru. adresa e-pošte i domena pošiljatelja s kojih se šalju obavještenja. U slučaju OpenAI-a, legitimna komunikacija mora dolaziti sa službenih domena povezanih s kompanijom, nikada sa generičkih servisa ili adresa koje kombiniraju sumnjiva slova i brojeve.
Pored ovog specifičnog curenja informacija, incident još jednom naglašava važnost Organizacije bi trebale educirati svoje zaposlenike i saradnike o dobrim praksama kibernetičke sigurnosti.Ovo je posebno relevantno u evropskim kompanijama koje podliježu propisima kao što su GDPR ili NIS2 direktiva, gdje neovlašteni pristup može dovesti do kazni i obaveze izvještavanja organima za zaštitu podataka.
Sigurnosne preporuke za programere i organizacije
Među mjerama koje preporučuje sam OpenAI, prva koja se ističe je Omogućavanje višefaktorske autentifikacije (MFA) Ovo se odnosi na sve račune, i one za programere i administratore. Sistem dodaje drugi sloj verifikacije - na primjer, privremeni kod na vašem mobilnom uređaju ili aplikaciju za autentifikaciju - tako da čak i ako je lozinka kompromitovana, napadaču postaje mnogo teže pristupiti računu.
Kompanija to podsjeća Nikada ne traži lozinke, API ključeve, verifikacijske kodove ili bankovne podatke putem e-pošte.Svaka poruka koja zahtijeva ovu vrstu informacija treba se smatrati sumnjivom, a u slučaju sumnje preporučuje se ručni pristup računu putem službene web stranice, a ne putem linkova primljenih putem e-pošte.
Radi dodatnog poboljšanja sigurnosti, administratorima se također savjetuje da provode redovne preglede. aktivni pristupi, tokeni i API ključevi omogućene u svojim projektima, poništavajući one koji više nisu potrebni. U evropskim okruženjima gdje kompanije integrišu OpenAI API u vlastite proizvode - na primjer, korporativne chatbotove, interne asistente ili alate za analitiku - održavanje ažurnog inventara dozvola i akreditiva postaje ključna praksa.
OpenAI je korisnicima omogućio poseban kanal, mixpanelincident@openai.comZa upite vezane za ovaj konkretan slučaj, pored uobičajenog kontakta sa timovima za odnose s klijentima, molimo vas da kontaktirate nadležne odjele. Na taj način, oni koji imaju sumnje u to da li je njihova organizacija pogođena mogu zatražiti potvrdu i daljnje smjernice.
Za mnoge španske i evropske programere i IT menadžere, ova epizoda će poslužiti kao podsjetnik da Vanjske zavisnosti u oblaku zahtijevaju kontinuirane sigurnosne kontrolekako u samim sistemima, tako i u alatima trećih strana koji su integrirani u radni proces.
Još jedan incident u sigurnosnoj historiji ChatGPT-a i njegovog ekosistema
Curenje informacija o Mixpanel-u nije prvi neuspjeh koji je OpenAI ekosistem doživio od pokretanja ChatGPT-a. Mart 2023, kompanija je bila prisiljena da privremeno isključite uslugu nakon što su istraživači otkrili grešku koja je nekim korisnicima omogućavala pregled privatnih podataka drugih korisnika, uključujući djelomične informacije o plaćanju i metapodatke razgovora.
Mjesecima kasnije, istraga firme za sajber sigurnost Group-IB otkrila je da Više od 100.000 uređaja je bilo zaraženo zlonamjernim softverom dizajniran za krađu akreditiva Prijava na ChatGPT, uključujući korisnička imena i lozinke, bila je kompromitovana. U tom slučaju, nije se radilo o kvaru na OpenAI serverima, već o korisničkim računarima kompromitiranim zlonamjernim softverom, ali praktičan rezultat je bio sličan: neovlašteni pristup računima.
Ove epizode, zajedno sa trenutnim incidentom, podstakle su Debata u Evropi o odgovornoj upotrebi generativnih alata umjetne inteligencije U kompanijama, javnim upravama i obrazovnim institucijama, regulatorna tijela i organi za zaštitu podataka pomno ispituju kako se podaci građana prikupljaju, pohranjuju i dijele, te kakve garancije nude velike tehnološke platforme.
U ovom kontekstu, svaki incident, ma koliko mali bio Test otpornosti na stres za politike sigurnosti i transparentnosti od kompanija poput OpenAI-a. Način na koji prijavljuju, ispravljaju i sprječavaju buduće kvarove uveliko će odrediti povjerenje koje korisnici, kompanije i evropski regulatori imaju u ove usluge.
Kompanija, sa svoje strane, insistira na tome Sigurnost i privatnost su prioritet I uvjerava da će nastaviti jačati kontrole nad vanjskim dobavljačima, kao i obavještavati korisnike kada se otkriju rizici. Za one koji se oslanjaju na API u kritičnim projektima, ova najnovija epizoda će vjerovatno biti poziv da pregledaju konfiguracije, akreditive i interne procese malo smirenije nego inače.
