OpenAI reagált a Mixpanel adatvédelmi incidensére: API-felhasználók adatai kerültek veszélybe
Az elmúlt időszakban ismét egy jelentős adatbiztonsági incidens rázta meg a tech szektort, amely ezúttal az OpenAI és a harmadik fél által nyújtott Mixpanel elemzőszolgáltatás kapcsolatában történt. A Mixpanel infrastruktúráján belüli biztonsági rés miatt korlátozott mennyiségű, az OpenAI API-felhasználókhoz köthető elemzési adat vált hozzáférhetővé illetéktelenek számára. Fontos azonban kiemelni, hogy az OpenAI saját rendszerei nem sérültek, így a ChatGPT-felhasználók adatai érintetlenek maradtak.
Mi történt pontosan a Mixpanelnél?
November 9-én a Mixpanel biztonsági csapata egy jogosulatlan behatolást észlelt saját belső rendszerében, amely során támadók hozzáfértek egy olyan adatállományhoz, amely néhány OpenAI API-fiókhoz kötődő ügyfélazonosító információkat tartalmazott. Az incidensről a Mixpanel azonnal értesítette az OpenAI-t, majd közösen kezdték meg az eset kivizsgálását. November 25-én a Mixpanel átadta az érintett adatokat az OpenAI részére, akik hitelesítették a kiszivárgást.
Milyen adatok kerültek illetéktelen kezekbe?
A kiszivárgott adatállomány felhasználói profiladatokat tartalmazott, amelyek jellemzően a platform.openai.com API-felhasználói fiókokhoz kapcsolódtak. Ezek között szerepeltek a fiókon megadott nevek, email-címek, hozzávetőleges földrajzi helyzet (város, állam, ország), valamint az operációs rendszer és böngésző típusának adatai. Emellett szerepelt a hivatkozó weboldalak listája, illetve belső szervezeti azonosítók is. Bár az OpenAI rendszerei nem sérültek, a rendelkezésre álló adatok kombinációja növelheti a phishing vagy társadalmi manipulációs támadások kockázatát.
OpenAI lépései és a felhasználók védelme
Az incidens nyilvánosságra kerülése után az OpenAI azonnal eltávolította a Mixpanel szolgáltatásait saját termelési környezetéből, valamint teljes körűen beszüntette a szolgáltató igénybevételét. Az érintett felhasználókat és szervezeteket közvetlenül értesítik az adatvédelmi incidensről, miközben átfogó biztonsági felülvizsgálatot végeznek a teljes beszállítói láncban. Az OpenAI továbbá megerősítette, hogy nem találtak bizonyítékot arra, hogy bármely más rendszer vagy adat került volna veszélybe.
Mit tehetnek az érintettek?
Azok, akiknek adatai érintettek lehetnek a Mixpanel adatvesztésében, figyelmesebben kell kezelniük a beérkező e-maileket és egyéb kommunikációkat, különösen a gyanús, adathalászati próbálkozásokra utaló jeleket. Az OpenAI ajánlása szerint mindenkinek érdemes bekapcsolni a kétfaktoros hitelesítést, hogy megemelje fiókja biztonsági szintjét. Fontos hangsúlyozni, hogy a ChatGPT alkalmazás felhasználói nem érintettek ebben az esetben, azok adatai biztonságban vannak.
Az adatvédelem és biztonság továbbra is kiemelt prioritás az OpenAI számára, amely a transzparencia elvének megfelelően folyamatosan tájékoztatja ügyfeleit és partnereit. A vállalat elkötelezett a magas szintű adatbiztonság fenntartása mellett, és szigorúbb biztonsági előírásokat vezet be harmadik felekkel szemben, hogy hasonló incidens ne fordulhasson elő a jövőben.
