OpenAI potwierdziło naruszenie bezpieczeństwa z udziałem zewnętrznego dostawcy narzędzi analitycznych, firmy Mixpanel.
OpenAI, twórca ChatGPT, potwierdziło incydent bezpieczeństwa. Firma zapewnia, że nie doszło do niego z jej winy.
Wyciek dotyczy zewnętrznego dostawcy analityki, firmy Mixpanel. Doprowadził do ujawnienia ograniczonej puli danych użytkowników powiązanych z platformą API.
„Nie doszło do naruszenia systemów OpenAI. Nie zostały naruszone ani ujawnione: rozmowy, żądania API, dane o użyciu API, hasła, dane uwierzytelniające, klucze API, dane płatnicze ani dane z dokumentów tożsamości”, poinformowała firma w czwartkowym e-mailu do użytkowników.
Według OpenAI Mixpanel wykrył intruza 9 listopada.
Atakujący uzyskał nieautoryzowany dostęp do części systemów i wyeksportował zestaw danych z ograniczonymi informacjami pozwalającymi zidentyfikować klientów oraz danymi analitycznymi.
OpenAI podało, że potencjalnie dotknięte informacje ograniczały się do imion i nazwisk, adresów e-mail oraz identyfikatorów użytkowników.
Firma poinformowała, że zrezygnowała z Mixpanel i potwierdziła, iż incydent nie wynikał z luk w systemach OpenAI.
Co to oznacza dla twoich danych?
OpenAI zapowiedziało dochodzenie. Wezwało też użytkowników do wzmożonej czujności wobec phishingu i oszustw socjotechnicznych, które mogą próbować wykorzystać skradzione dane.
Użytkowników zachęcono do włączenia uwierzytelniania wieloskładnikowego jako dodatkowej ochrony kont.
Choć OpenAI zapewnia, że rozmowy z ChatGPT nie zostały ujawnione, to zdarzenie przypomina, jak wiele danych osobowych trafia do firmy, gdy użytkownicy zwierzają się chatbotom.
OpenAI zapowiedziało też ostrzejsze wymogi bezpieczeństwa wobec wszystkich partnerów zewnętrznych.
Chociaż korzystanie przez OpenAI z analityki Mixpanel jest standardową praktyką, narzędzie śledziło dane, takie jak adresy e-mail i lokalizacja, które nie były potrzebne do ulepszania produktu. To może naruszać zasadę minimalizacji danych wynikającą z RODO, ocenia Moshe Siman Tov Bustan, szef zespołu badawczego ds. bezpieczeństwa w OX Security, firmie zajmującej się bezpieczeństwem AI.
„Firmy, od technologicznych gigantów w rodzaju OpenAI po jednoosobowe startupy, powinny zawsze maksymalnie chronić i anonimizować dane klientów przekazywane podmiotom trzecim, aby uniknąć ich kradzieży lub wycieku”, powiedział w rozmowie z Euronews Next.
„Nawet przy korzystaniu z wiarygodnych, sprawdzonych dostawców każda przesłana na zewnątrz dana umożliwiająca identyfikację tworzy kolejny potencjalny punkt narażenia”.