Компания OpenAI официально подтвердила нарушение безопасности, связанное со сторонним поставщиком аналитики Mixpanel.
Компания OpenAI, создатель ChatGPT, подтвердила инцидент, связанный с безопасностью, который, как она утверждает, произошел не по ее вине.
Утечка данных связана со сторонним провайдером аналитики Mixpanel и привела к раскрытию ограниченного объема пользовательских данных, связанных с платформой API OpenAI.
«Это не было взломом систем OpenAI. Никакие чаты, запросы API, данные об использовании API, пароли, учётные данные, ключи API, платёжные данные или правительственные идентификаторы не были скомпрометированы или раскрыты», — сообщила компания в электронном письме, разосланном пользователям в четверг.
По словам OpenAI, Mixpanel впервые обнаружил работу злоумышленника 9 ноября.
Взломщик получил несанкционированный доступ к части систем Mixpanel и экспортировал набор данных с ограниченной информацией, позволяющей идентифицировать клиентов, а также с аналитическими данными.
В OpenAI сообщили, что затронутая информация ограничивалась именами, адресами электронной почты и идентификаторами пользователей.
OpenAI заявила, что прекратила использование Mixpanel и подтвердила, что утечка не была вызвана уязвимостями в системах OpenAI.
Что это значит для ваших данных?
Компания заявила, что расследует утечку, и призвала пользователей проявлять особую бдительность в отношении фишинговых атак и мошенничества с использованием социальной инженерии, целью которого может быть использование украденных данных.
Пользователям рекомендовано включить многофакторную аутентификацию как дополнительную меру защиты своих учетных записей.
Хотя OpenAI заявила, что разговоры с ChatGPT не были раскрыты, инцидент напоминает о том, к какому объему персональных данных имеет доступ OpenAI, когда люди откровенничают с чат-ботами.
OpenAI сообщила, что намерена ужесточить требования к безопасности для всех внешних партнеров.
Использование в OpenAI сервиса аналитики Mixpanel является обычной практикой, однако сервис отслеживал такие данные, как адреса электронной почты и местоположение, которые не требовались для улучшения продукта, что потенциально нарушает принцип минимизации данных по GDPR, сказал Моше Симан Тов Бустан, руководитель команды по исследованию безопасности в OX Security, компании в сфере безопасности ИИ.
«Компании — от технологических гигантов вроде OpenAI до стартапов, состоящих из одного человека, — всегда должны стремиться к обеспечению дополнительной защиты и анонимизации данных клиентов, отправляемых третьим лицам, чтобы избежать кражи или утечки такой информации», — заявил он в интервью Euronews Next.
«Даже при использовании законных, проверенных поставщиков каждая порция идентифицируемых данных, отправленная за пределы организации, создает еще одну потенциальную точку риска».
«Даже при использовании законных, проверенных поставщиков каждая порция идентифицируемых данных, отправленная за пределы организации, создает еще одну потенциальную точку риска».