Το OpenAI ειδοποιεί ορισμένους πελάτες του ChatGPT API ότι αποκαλύφθηκαν περιορισμένες πληροφορίες αναγνώρισης μετά από παραβίαση στον τρίτο πάροχο αναλυτικών στοιχείων Mixpanel.
Το Mixpanel προσφέρει αναλυτικά στοιχεία συμβάντων που χρησιμοποιεί το OpenAI για να παρακολουθεί τις αλληλεπιδράσεις των χρηστών στη διεπαφή διεπαφής για το προϊόν API.
Σύμφωνα με την εταιρεία AI, το περιστατικό στον κυβερνοχώρο επηρέασε «περιορισμένα δεδομένα αναλυτικών στοιχείων που σχετίζονται με ορισμένους χρήστες του API» και δεν επηρέασε τους χρήστες του ChatGPT ή άλλων προϊόντων.
“Δεν πρόκειται για παραβίαση των συστημάτων του OpenAI. Καμία συνομιλία, αιτήματα API, δεδομένα χρήσης API, κωδικοί πρόσβασης, διαπιστευτήρια, κλειδιά API, λεπτομέρειες πληρωμής ή κυβερνητικά αναγνωριστικά δεν παραβιάστηκαν ή εκτέθηκαν.” Το OpenAI λέει σε δελτίο τύπου.
Mixpanel αναφέρθηκε ότι η επίθεση «επηρέασε έναν περιορισμένο αριθμό πελατών μας» και προέκυψε από μια καμπάνια smishing (SMS phishing) που εντόπισε η εταιρεία στις 8 Νοεμβρίου.
Το OpenAI έλαβε λεπτομέρειες για το επηρεαζόμενο σύνολο δεδομένων στις 25 Νοεμβρίου, αφού ενημερώθηκε για την εν εξελίξει έρευνα του Mixpanel.
Η εταιρεία AI σημειώνει ότι οι εκτεθειμένες πληροφορίες μπορεί να περιλαμβάνουν:
- Όνομα που μας δόθηκε στον λογαριασμό API
- Διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με τον λογαριασμό API
- Κατά προσέγγιση αδρή τοποθεσία με βάση το πρόγραμμα περιήγησης χρήστη API (πόλη, πολιτεία, χώρα)
- Λειτουργικό σύστημα και πρόγραμμα περιήγησης που χρησιμοποιούνται για την πρόσβαση στον λογαριασμό API
- Ιστότοποι παραπομπής
- Αναγνωριστικά οργανισμού ή χρήστη που σχετίζονται με τον λογαριασμό API
Επειδή δεν εκτέθηκαν ευαίσθητα διαπιστευτήρια, οι χρήστες δεν χρειάζεται να επαναφέρουν τους κωδικούς πρόσβασης ή να αναδημιουργήσουν κλειδιά API.
Μερικοί χρήστες είναι αναφοράς ότι το CoinTracker, μια πλατφόρμα παρακολούθησης χαρτοφυλακίου κρυπτονομισμάτων και φορολογική πλατφόρμα, έχει επίσης επηρεαστεί, με εκτεθειμένα δεδομένα που περιλαμβάνουν επίσης μεταδεδομένα συσκευής και περιορισμένο αριθμό συναλλαγών.
Το OpenAI έχει ξεκινήσει έρευνα για να προσδιορίσει το πλήρες εύρος του περιστατικού. Για προληπτικούς λόγους, έχει αφαιρέσει το Mixpanel από τις υπηρεσίες παραγωγής του και ειδοποιεί απευθείας τους οργανισμούς, τους διαχειριστές και τους μεμονωμένους χρήστες.
Ενώ το OpenAI υπογραμμίζει ότι επηρεάζονται μόνο οι χρήστες του API του, ειδοποίησε όλους τους συνδρομητές του.
Η εταιρεία προειδοποιεί ότι τα δεδομένα που διέρρευσαν θα μπορούσαν να αξιοποιηθούν σε επιθέσεις phishing ή κοινωνικής μηχανικής και συμβουλεύει τους χρήστες να παρακολουθούν για κακόβουλα μηνύματα με αξιόπιστη εμφάνιση που σχετίζονται με το περιστατικό.
Τα μηνύματα που περιέχουν συνδέσμους ή συνημμένα θα πρέπει να επαληθεύονται για να διασφαλιστεί ότι προέρχονται από έναν επίσημο τομέα OpenAI.
Η εταιρεία προτρέπει επίσης τους χρήστες να ενεργοποιήσουν το 2FA και να μην στέλνουν ποτέ ευαίσθητες πληροφορίες, συμπεριλαμβανομένων κωδικών πρόσβασης, κλειδιών API ή κωδικών επαλήθευσης, μέσω email, κειμένου ή συνομιλίας.
Η Διευθύνουσα Σύμβουλος της Mixpanel, Jen Taylor, είπε ότι όλοι οι επηρεαζόμενοι πελάτες έχουν έρθει σε άμεση επαφή. «Αν δεν έχετε ακούσει από εμάς, δεν επηρεαστήκατε», σημείωσε.
Σε απάντηση στην επίθεση, το Mixpanel εξασφάλισε τους επηρεαζόμενους λογαριασμούς, ανακάλεσε ενεργές περιόδους σύνδεσης και συνδέσεις, ενέτρεψε τα διαπιστευτήρια που είχαν παραβιαστεί, απέκλεισε τις διευθύνσεις IP του παράγοντα απειλής και επανέφερε τους κωδικούς πρόσβασης για όλους τους υπαλλήλους. Η εταιρεία έχει επίσης εφαρμόσει νέους ελέγχους για την αποτροπή παρόμοιων περιστατικών στο μέλλον.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
