OpenAI, Mixpanel aracılığıyla üçüncü taraf veri ihlalini doğrulayarak adlar, e-postalar ve tarayıcı bilgileri gibi sınırlı API kullanıcı meta verilerini açığa çıkardı. OpenAI sistemleri ihlal edilmedi ve hiçbir şifre, API anahtarı, sohbet veya ödeme verisi açığa çıkmadı.
OpenAI, aşağıdakileri içeren bir veri ihlalini doğruladı: Karışık panelAPI kontrol paneli etkinliğini izlemek için kullandığı üçüncü taraf bir analiz aracıdır. Bu, OpenAI’nin sistemlerine doğrudan yapılan bir saldırı değil, bir saldırganın API kullanıcılarıyla bağlantılı verilere eriştiği ve verileri dışarı aktardığı Mixpanel’in ele geçirilmesiydi.
Daha spesifik olmak gerekirse bu, şifreler, ödeme bilgileri veya doğrudan erişim sağlayan herhangi bir şeyle ilgili değildi. Alınanlar arasında analiz araçlarının varsayılan olarak topladığı türden hesap meta verileri vardı:
- İsim
- E-posta adresi
- Yönlendiren web sitesi
- Şehir, eyalet veya ülke
- Dahili kullanıcı veya kuruluş kimliği
- Tarayıcı ve işletim sistemi
OpenAI yanıt verdi Mixpanel’i üretim sistemlerinden derhal kaldırarak nelerin etkilendiğini belirlemek için bir inceleme başlattı. O zamandan beri etkilenen tüm kullanıcıları bilgilendirdi. Şirket aynı zamanda dış satıcıları üzerinde daha geniş bir denetim yürütüyor ve kullanıcılara çok faktörlü kimlik doğrulamayı açmalarını ve istenmeyen mesajlara veya kimlik avı girişimlerine karşı dikkatli olmalarını tavsiye etti.
Normal ChatGPT kullanıcılarının etkilenmediğini açıklığa kavuşturmakta fayda var. Maruz kalma, OpenAI ile etkileşime girenlerle sınırlıydı. API platformu.
Karışık panel onaylandı Hizmet ortamlarından birinde şüpheli erişim tespit ettiğini ve saldırganın OpenAI dahil birden fazla müşteriye ait verileri dışa aktardığını söyledi. Şirket, o zamandan bu yana güvenlik açığını giderdiğini ve araştırma için harici güvenlik uzmanlarını görevlendirdiğini açıkladı.
Bu tür bir üçüncü taraf ihlali nadir olmaktan uzak. Pek çok şirket, her biri belirli bir düzeyde risk taşıyan analiz sağlayıcılarına, ödeme işlemcilerine ve destek platformlarına güveniyor. Hiçbir sistem kurşun geçirmez olmasa da önemli olan, bir şey bozulduğunda şirketlerin nasıl tepki vereceğidir. Bu durumda OpenAI, satıcısını çevrimdışına aldı, hasarı araştırdı ve etkilenenleri gecikmeden bilgilendirdi.
İyi haber şu ki ChatGPT kullanıcı verileri etkilenmedi ve OpenAI zaten ilgili üçüncü taraf sağlayıcının bağlantısını kesti. Dezavantajı ise bazı verilerin çalınmış olması ve bu verilerin sızdırılması veya aynı kullanıcıları hedef alan kimlik avı girişimlerinde kullanılması ihtimalinin gerçek olmasıdır.
Bu nedenle, OpenAI veya Mixpanel’den geldiğini iddia eden e-postalara, özellikle de şifreleri sıfırlamanızı veya güvenlik ayarlarını gözden geçirmenizi isteyen e-postalara karşı dikkatli olun. Ayrıca hem OpenAI hesabınızda hem de ona bağlı e-postada iki faktörlü kimlik doğrulamayı etkinleştirmenin tam zamanı.