„OpenAI“ pranešė apie naudotojų duomenų nutekėjimą, kuris įvyko ne pačios bendrovės sistemose, o per išorinį analitikos įrankį „Mixpanel“. Dalis „ChatGPT“ ir API platformos vartotojų ketvirtadienį gavo el. laiškus, įspėjančius apie galimą pažeidimą. Nors tokios žinutės kelia nerimą, svarbiausia žinia yra ta, kad „OpenAI“ infrastruktūra nebuvo įsilaužta.
Bendrovė teigia, kad incidentas palietė tik ribotą kiekį analitinių duomenų, susijusių su API paskyromis. Tai reiškia, kad iš pažeistos sistemos buvo gauta dalis informacijos, kuri naudojama paslaugų statistikai ir veikimo stebėsenai. Vis dėlto net ir toks nutekėjimas gali būti jautrus, nes atskleidžia tam tikrus asmeninius požymius.
„OpenAI“ pabrėžia skaidrumą ir aiškina, kad informuoja vartotojus vos gavusi patvirtinimus apie įvykį. Įmonė taip pat ragina išlikti budriems, nes nutekėję duomenys teoriškai gali būti panaudoti sukčiavimo laiškams ar kitiems apgaulės bandymams. Kitaip tariant, situacija nėra katastrofiška, bet reikalauja atidumo.
Kas nutekėjo iš „Mixpanel“ sistemos?
Nutekėjimo priežastimi įvardijamas kibernetinis įsilaužimas į „Mixpanel“ infrastruktūrą. Užpuolikai pasiekė dalį „OpenAI“ klientų analitikos įrašų, kuriuose buvo riboti identifikaciniai duomenys. Bendrovė nenurodo tikslaus paveiktų vartotojų skaičiaus, tačiau sutinka, kad dalis informacijos galėjo būti išeksportuota.
Pagal „OpenAI“ pateiktą aprašą, buvo atskleisti paskyrų pavadinimai, naudojami platformoje „platform.openai.com“, taip pat su API paskyromis susieti el. pašto adresai. Be to, tarp duomenų yra apytikslės vietos nuorodos, nustatytos pagal IP adresą ir naršyklės informaciją, taip pat operacinės sistemos ir naršyklės tipas. Nutekėjo ir kai kurie API paskyrose saugomi naudotojų identifikatoriai.
Ši informacija pati savaime neleidžia tiesiogiai perimti paskyrų, tačiau gali tapti naudinga socialinės inžinerijos atakoms. Pavyzdžiui, sukčiai gali bandyti siųsti itin įtikinamus el. laiškus, apsimesdami oficialiais pranešimais. Dėl to „OpenAI“ prašo vartotojų atidžiai tikrinti bet kokias žinutes, kurios prašo prisijungimo duomenų ar veda į įtartinas nuorodas.
Kas nenutekėjo ir kokie tolimesni žingsniai?
„OpenAI“ aiškiai nurodo, kad jų pačių serveriai nebuvo pažeisti. Tai reiškia, kad nepateko pokalbių turinys, API užklausų istorija, naudojimo duomenys, raktai, slaptažodžiai, autentifikavimo informacija ar mokėjimų detalės. Kitaip tariant, tai nėra incidentas, po kurio reikėtų manyti, kad jūsų paskyra automatiškai tapo nesaugi.
Pasak bendrovės, į „Mixpanel“ sistemas buvo įsilaužta prieš kelias savaites, o įrankio kūrėjai apie tai sužinojo lapkričio devintą dieną. „Mixpanel“ pripažino, kad užpuolikai spėjo atsisiųsti dalį duomenų, o „OpenAI“ galutinę informaciją gavo lapkričio dvidešimt penktą dieną. Tyrimo laikotarpiu prieiga prie „Mixpanel“ įrankio buvo laikinai uždaryta.
Nors nutekėjimas apima ribotą sritį, jis primena, kad net ir didelėms technologijų bendrovėms rizika atsiranda per partnerius. Vartotojams svarbiausia išlikti atsargiems, ypač gavus netikėtus laiškus apie paskyras ar mokėjimus. Jei laikysitės pagrindinių saugumo įpročių, šis incidentas greičiau bus nemalonus priminimas nei reali grėsmė.
