OpenAI rieši bezpečnostný incident, ktorý vznikol v dôsledku narušenia systému externej služby, a preto zaviedla nové opatrenia na ochranu dát. Hoci útok nebol vedený priamo voči ChatGPT, spoločnosť upozornila používateľov, že určitá časť údajov mohla byť ohrozená vďaka kompromitácii nástroja Mixpanel. Na túto udalosť upozornili viaceré technologické médiá zo zahraničia.
Podľa informácií spoločnosti neboli kontá bežných používateľov ChatGPT nijako dotknuté a ich osobné informácie zostali mimo rizika. Iný dopad však mohol mať incident na ľudí a firmy využívajúce rozhranie API dostupné cez platform.openai.com. Prevádzkovateľ Mixpanelu medzičasom potvrdil, že útok zasiahlo len obmedzené množstvo klientov a vznikol následkom cielenej smishingovej kampane, uvádza Windows Central. Útočníkom sa pri nej podarilo získať prístup k časti ich infraštruktúry a stiahnuť z nej určité dáta.
Údaje, ktoré sa mohli dostať mimo kontrolu
Medzi kompromitovanými informáciami sa mohli nachádzať meno účtu, e-mailová adresa, približná poloha odvodená z prehliadača používaného pri práci s API, typ operačného systému, prehliadač a tiež identifikátory používateľov či organizácií. OpenAI bola o incidente oficiálne informovaná 25. novembra, keď jej Mixpanel poskytol výsledky svojho interného vyšetrovania.
Spoločnosť následne začala vlastnú analýzu celej situácie a pozastavila používanie Mixpanelu vo všetkých klientskej časti svojich služieb. Zároveň kontaktuje jednotlivé organizácie a používateľov, ktorých by sa incident mohol týkať. Keďže podľa dostupných údajov neunikli heslá ani API kľúče, nie je potrebné ich meniť. OpenAI však pre istotu informovala všetkých predplatiteľov, aby bola komunikácia úplná a otvorená.
Firma zároveň varuje, že útočníci by v budúcnosti mohli získať z ukradnutých údajov výhodu pri phishingových pokusoch alebo iných manipuláciách založených na sociálnom inžinierstve.
Reakcia dodávateľa analytického nástroja
Mixpanel po útoku uzavrel všetky dotknuté relácie, zablokoval prístupové pokusy z adries spojených s útočníkom a vymenil interné heslá zamestnancov. Spoločnosť tiež uviedla, že prijala nové bezpečnostné protokoly, ktoré majú podobným problémom v budúcnosti predchádzať.
