OpenAI ka pranuar një rrjedhje të dhënash që ka prekur disa përdorues të lidhur me platformën e saj të zhvillimit, pas njërit prej tij ofruesit e jashtëm të analizave pësoi një incident sigurie. Edhe pse shumë tituj kanë treguar drejtpërdrejt një "shkelje në ChatGPT", vetë kompania këmbëngul se sistemet e saj kryesore nuk janë kompromentuar dhe se bisedat me chatbot-in nuk janë prekur.
Megjithatë, rasti e risjell në diskutim shkallën në të cilën Mbështetja në shërbimet e palëve të treta mund të bëhet një hallkë e dobët në zinxhirin e sigurisë së kompanive të mëdha të teknologjisë, gjithashtu në një Konteksti evropian ku përputhshmëria me GDPR dhe mbrojtja e të dhënave personale janë veçanërisht të ndjeshme.
Çfarë ndodhi saktësisht me Mixpanel dhe OpenAI?
Origjina e problemit është në Mixpanel, një kompani analitike web e përdorur nga OpenAI për të mbledhur metrika dhe telemetri nga portali juaj platform.openai.com, porta hyrëse që zhvilluesit dhe kompanitë përdorin për të integruar API-n e kompanisë në shërbimet dhe aplikacionet e tyre.
Sipas historisë së ndarë me klientët, Më 9 nëntor, një sulmues fitoi akses të paautorizuar në një pjesë të infrastrukturës së Mixpanel. dhe eksportoi një grup të dhënash i cili përfshinte informacione analitike nga disa klientë, përfshirë OpenAI. Firma analitike më pas nisi një hetim të brendshëm dhe, më 25 nëntor, i dha OpenAI detaje mbi të dhënat specifike që ishin ekspozuar.
Pasi mori atë informacion, OpenAI filloi të analizonte shkallën e vërtetë të incidentit.i fokusuar te përdoruesit e lidhur me domenin platform.openai.comMe fjalë të tjera, këto nuk janë llogaritë tipike të atyre që hyjnë në ChatGPT vetëm për të biseduar nga uebi ose aplikacioni, por më tepër profile të zhvilluesve, organizatave dhe administratorëve me qasje në API.
Kompania tashmë ka dërguar email-e njoftimi të personalizuara për llogaritë e prekura, i cili detajon llojin e të dhënave që mund të ekspozohen dhe ofron rekomandime bazë për sigurinë, si dhe ofron kanale specifike kontakti për pyetje dhe ndihmë.
Cilat të dhëna janë prekur dhe cilat jo
Sipas informacionit të dhënë nga kompania, rrjedhja është e kufizuar në të dhëna analitike dhe profilizuese të lidhura me përdorimin e API-tpa ndikuar në përmbajtjen e ndërveprimit ose kredencialet e ndjeshme. Fushat që mund të jenë kompromentuar përfshijnë:
- emër të dhëna në llogarinë API.
- Email të lidhura me atë llogari.
- Vendndodhja e përafërt të nxjerra nga shfletuesi (qyteti, rajoni, vendi).
- Sistemi operativ dhe shfletuesi përdoret për të hyrë në platformën e zhvillimit.
- Faqet e internetit të referencës nga ku mbërritën në portal.
- Identifikuesi i organizatës ose i përdoruesit të lidhura me llogarinë API.
OpenAI ka theksuar në disa raste se Nuk janë ekspozuar biseda, mesazhe të dërguara në ChatGPT, kërkesa API ose të dhëna të detajuara përdorimi.Kjo përjashton mundësinë që bisedat që përdoruesit kanë me sistemin të jenë publikuar.
Ai gjithashtu këmbënguli se Asnjë fjalëkalim, çelës API, informacion pagese, kredenciale hyrjeje ose dokument zyrtar nuk është kompromentuar. siç është identifikimi qeveritar. Nga një këndvështrim teknik, kompania beson se Nuk kishte ndërhyrje në serverat e tyre.Incidenti ishte i kufizuar në mjedisin Mixpanel.
Megjithatë, ekspozita e informacioni i kontaktit dhe metadatat e përdorimit Kjo mund të jetë e mjaftueshme që aktorët keqdashës të përpiqen të bëjnë fushata të synuara “phishing” ose “imitimi”, veçanërisht kundër ekipeve të zhvillimit dhe menaxherëve teknikë, segmente që shpesh kanë akses të privilegjuar në sistemet kritike.
Si po i përgjigjet OpenAI rrjedhjes së informacionit?
Pas konfirmimit të shkallës së shkeljes, OpenAI ka deklaruar se është kryerjen e një hetimi më të gjerë të sigurisë së bashku me Mixpanel dhe partnerë të tjerë të teknologjisë për të kuptuar të gjitha aspektet e incidentit. Kompania ka vendosur menjëherë Hiqni Mixpanel nga shërbimet tuaja të prodhimit, duke pushuar së varuri nga kjo platformë për mbledhjen e të dhënave analitike.
Në të njëjtën kohë, kompania ka njoftuar se do të kryejë "rishikime shtesë dhe të zgjeruara të sigurisë" në të gjithë ekosistemin e aplikacioneve dhe ofruesve të sajdhe se do të forcojë kërkesat e sigurisë për të gjitha palët e treta me të cilat punon. Mesazhi që synon të përcjellë është se standardi i mbrojtjes do të rritet për të parandaluar që një dobësi e jashtme të prekë përsëri përdoruesit e saj.
Në deklaratat e dërguara në llogaritë e prekura, OpenAI përfshin gjithashtu një falje të qartë për atë që ndodhi dhe për shqetësimin që rrjedhja mund të shkaktojë, ndërkohë që rithekson angazhimin e saj për transparencë dhe për të njoftuar menjëherë çdo incident që lidhet me sigurinë e të dhënave.
Kompania tregon se, për momentin, nuk ka identifikuar prova të keqpërdorimit të informacionit të vjedhur jashtë mjedisit Mixpanel, megjithëse ai pranon se vazhdon të monitorojë nga afër çdo shenjë të aktivitetit të dyshimtë të lidhur me këtë incident.
Rreziqet për përdoruesit: phishing, spam dhe sulme të synuara
Edhe pse informacioni i rrjedhur nuk përfshin fjalëkalime ose të dhëna financiare, Po, është e mjaftueshme për të mundësuar sulmet e inxhinierisë sociale.Emrat, emailet, vendndodhja e përafërt dhe të dhënat teknike të pajisjes i lejojnë një sulmuesi të ndërtojë mesazhe që duken shumë bindëse, veçanërisht nëse ato u drejtohen profileve me përgjegjësi teknike ose administrative.
OpenAI ka paralajmëruar shprehimisht se të prekurit mund të marrin fushata phishing ose email-e të padëshiruara Këto sulme imitojnë komunikimet zyrtare nga vetë kompania ose shërbime të tjera teknologjike. Ato zakonisht përpiqen t'i mashtrojnë përdoruesit që të klikojnë në lidhje keqdashëse, të shkarkojnë skedarë të infektuar ose të japin kredenciale të reja hyrjeje.
Prandaj, mesazhi i kompanisë është që përdoruesit, veçanërisht në mjediset profesionale evropiane ku trajtohen informacione të ndjeshme, Tregoni kujdes të jashtëzakonshëm me çdo email të papritur. që kërkon veprime urgjente, ndryshime fjalëkalimi jashtë kanaleve të zakonshme ose validim të të dhënave personale.
Gjithashtu rekomandon që të kontrolloni me kujdes. adresa e email-it dhe domeni i dërguesit nga të cilat dërgohen njoftimet. Në rastin e OpenAI, komunikimet legjitime duhet të vijnë nga domenet zyrtare të lidhura me kompaninë, kurrë nga shërbime të përgjithshme ose adresa që kombinojnë shkronja dhe numra të dyshimtë.
Përtej kësaj rrjedhjeje specifike, incidenti nënvizon edhe një herë rëndësinë e Organizatat duhet t'i edukojnë punonjësit dhe bashkëpunëtorët e tyre mbi praktikat e mira të sigurisë kibernetike.Kjo është veçanërisht e rëndësishme në kompanitë evropiane që i nënshtrohen rregulloreve të tilla si GDPR ose Direktiva NIS2, ku qasja e paautorizuar mund të çojë në penalizime dhe detyrime raportimi tek autoritetet e mbrojtjes së të dhënave.
Rekomandime sigurie për zhvilluesit dhe organizatat
Ndër masat e rekomanduara nga vetë OpenAI, e para që bie në sy është Aktivizimi i vërtetimit shumëfaktorësh (MFA) Kjo vlen për të gjitha llogaritë, si të zhvilluesit ashtu edhe të administratorit. Sistemi shton një shtresë të dytë verifikimi - për shembull, një kod të përkohshëm në pajisjen tuaj celulare ose një aplikacion autentifikuesi - në mënyrë që edhe nëse një fjalëkalim është i kompromentuar, bëhet shumë më e vështirë për një sulmues të hyjë në llogari.
Kompania kujton se Nuk kërkon kurrë fjalëkalime, çelësa API, kode verifikimi ose të dhëna bankare përmes emailit.Çdo mesazh që kërkon këtë lloj informacioni duhet të konsiderohet i dyshimtë dhe, nëse keni dyshime, rekomandohet që të hyni manualisht në llogari përmes faqes zyrtare të internetit, në vend që të përdorni lidhjet e marra me email.
Për të rritur më tej sigurinë, administratorëve u këshillohet gjithashtu të kryejnë rishikime të rregullta. qasje aktive, tokena dhe çelësa API të aktivizuara në projektet e tyre, duke revokuar ato që nuk nevojiten më. Në mjediset evropiane ku kompanitë integrojnë API-n OpenAI në produktet e tyre - për shembull, chatbot-et e korporatave, asistentët e brendshëm ose mjetet analitike - mbajtja e një inventari të azhurnuar të lejeve dhe kredencialeve bëhet një praktikë kyçe.
OpenAI ka vënë në dispozicion të përdoruesve një kanal specifik, mixpanelinencident@openai.comPër pyetje që lidhen me këtë rast specifik, përveç kontaktit të zakonshëm me ekipet e kontabilitetit, ju lutemi të kontaktoni departamentet përkatëse. Në këtë mënyrë, ata që kanë dyshime nëse organizata e tyre është prekur mund të kërkojnë konfirmim dhe udhëzime të mëtejshme.
Për shumë zhvillues dhe menaxherë të IT-së spanjollë dhe evropianë, ky episod do të shërbejë si një kujtesë se Varësitë e jashtme në cloud kërkojnë kontrolle të vazhdueshme sigurie.si në vetë sistemet ashtu edhe në mjetet e palëve të treta që janë të integruara në rrjedhën e punës.
Një tjetër incident në historinë e sigurisë së ChatGPT dhe ekosistemit të tij
Rrjedhja e të dhënave të Mixpanel nuk është pengesa e parë që ekosistemi OpenAI ka përjetuar që nga lançimi i ChatGPT. Mars 2023, kompania u detyrua të shkëputni përkohësisht shërbimin pasi studiuesit zbuluan një gabim që u lejonte disa përdoruesve të shihnin të dhënat private të përdoruesve të tjerë, duke përfshirë informacionin e pjesshëm të pagesës dhe metadatat e bisedave.
Muaj më vonë, një hetim nga firma e sigurisë kibernetike Group-IB zbuloi se Më shumë se 100.000 pajisje ishin infektuar me programe keqdashëse i projektuar për të vjedhur kredencialet Kredencialet e hyrjes në ChatGPT, duke përfshirë emrat e përdoruesit dhe fjalëkalimet, u kompromentuan. Në atë rast, nuk ishte një dështim në serverat e OpenAI, por më tepër kompjuterët e përdoruesve të kompromentuar nga malware, megjithatë rezultati praktik ishte i ngjashëm: qasje e paautorizuar në llogari.
Këto episode, së bashku me incidentin aktual, kanë nxitur debati në Evropë mbi përdorimin e përgjegjshëm të mjeteve gjeneruese të IA-së Në kompani, administrata publike dhe institucione arsimore, organet rregullatore dhe autoritetet e mbrojtjes së të dhënave po shqyrtojnë nga afër mënyrën se si mblidhen, ruhen dhe ndahen të dhënat e qytetarëve, si dhe çfarë garancish ofrojnë platformat e mëdha teknologjike.
Në këtë kontekst, çdo incident, sado i vogël, bëhet Një test stresi për politikat e sigurisë dhe transparencës nga kompani si OpenAI. Mënyra se si ata raportojnë, korrigjojnë dhe parandalojnë dështimet e ardhshme do të përcaktojë kryesisht besimin që përdoruesit, kompanitë dhe rregullatorët evropianë kanë në këto shërbime.
Kompania, nga ana e saj, këmbëngul se Siguria dhe privatësia janë përparësi Dhe siguron se do të vazhdojë të forcojë kontrollet mbi ofruesit e jashtëm, si dhe t'i mbajë përdoruesit të informuar kur zbulohen rreziqe. Për ata që mbështeten në API në projekte kritike, ky episod i fundit ka të ngjarë të jetë një ftesë për të shqyrtuar konfigurimet, kredencialet dhe proceset e brendshme me pak më shumë qetësi se zakonisht.
