افشای ‌داده‌های ‌مشتریان ‌OpenAI ‌از طریق Mixpanel ‌تایید ‌شد

شرکت OpenAI اعلام کرد رخنه امنیتی در شرکت Mixpanel باعث افشای بخشی محدود از داده‌های هویتی برخی کاربران API شده و این حادثه هیچ تاثیری بر ChatGPT نداشته است.

به گزارش سرویس خبری هوش مصنوعی جهانی مگ، OpenAI اعلام کرده است که به برخی از مشتریان API خود اطلاع‌رسانی می‌کند، زیرا به‌دنبال یک رخنه امنیتی در شرکت تحلیلی طرف‌سوم Mixpanel، بخشی محدود از اطلاعات هویتی کاربران در معرض افشا قرار گرفته است.

Mixpanel ارائه‌دهنده ابزارهای تحلیل رویداد است و OpenAI از خدمات آن برای ردیابی تعاملات کاربران در رابط فرانت‌اند محصول API استفاده می‌کند.

به‌گفته OpenAI، این حادثه سایبری تنها بخشی از «داده‌های تحلیلی محدود مربوط به برخی کاربران API» را تحت تأثیر قرار داده و هیچ‌گونه تأثیری بر کاربران ChatGPT یا دیگر محصولات این شرکت نداشته است. البته، ناگفته نماند که پیش از این نیز در مرداد ماه تعداد زیادی گفتگوهای کاربران در چت جی‌پی‌تی لو رفته بود. همچنین تاکنون هکرهای زیادی تلاش بر لو دادن اطلاعات و سرقت فناوری OpenAI کرده‌اند که برخی از آنها نیز موفق شده‌اند.

OpenAI در بیانیه رسمی خود تأکید کرده که «این یک رخنه در سیستم‌های OpenAI نبود» و هیچ گفت‌وگو، درخواست API، داده‌های استفاده از API، گذرواژه، اعتبارنامه، کلید API، اطلاعات پرداخت یا مدارک هویتی دولتی افشا یا نقض نشده است.

Mixpanel اعلام کرده که این حمله تنها «تعدادی محدود از مشتریان» را تحت تأثیر قرار داده و منشأ آن یک کارزار اسمی‌شینگ (فیشینگ از طریق پیامک) بوده که شرکت در تاریخ ۸ نوامبر آن را شناسایی کرده است. OpenAI نیز در ۲۵ نوامبر جزئیات داده‌های تحت تأثیر قرار گرفته را، در جریان تحقیقات جاری Mixpanel، دریافت کرده است.

اطلاعاتی که ممکن است افشا شده باشند شامل موارد زیر هستند:

• نام ثبت‌شده در حساب API
• آدرس ایمیل مرتبط با حساب API
• موقعیت جغرافیایی تقریبی بر اساس مرورگر کاربر (شهر، ایالت، کشور)
• سیستم‌عامل و مرورگر مورد استفاده برای دسترسی به حساب API
• وب‌سایت‌های ارجاع‌دهنده
• شناسه سازمان یا کاربر مرتبط با حساب API

از آن‌جایی که هیچ اعتبارنامه حساسی افشا نشده، کاربران نیازی به تغییر گذرواژه یا بازنشانی کلیدهای API ندارند.

برخی کاربران گزارش داده‌اند که CoinTracker، پلتفرم مدیریت سبد کریپتو و ابزار محاسبه مالیات، نیز تحت تأثیر قرار گرفته و داده‌های افشا شده شامل فراداده دستگاه و تعداد محدودی از تراکنش‌ها بوده است.

OpenAI تحقیقات خود را برای تعیین دامنه کامل حادثه آغاز کرده و به‌عنوان اقدام احتیاطی، Mixpanel را از سرویس‌های عملیاتی خود حذف کرده است. این شرکت همچنین در حال اطلاع‌رسانی مستقیم به سازمان‌ها، مدیران و کاربران فردی است.

OpenAI تأکید کرده که تنها کاربران API تحت تأثیر قرار گرفته‌اند، اما با این حال اطلاع‌رسانی را برای همه مشترکان خود ارسال کرده است.

شرکت هشدار داده که داده‌های افشا شده می‌تواند برای حملات فیشینگ یا مهندسی اجتماعی مورداستفاده قرار گیرد و از کاربران خواسته پیام‌های مشکوک و حتی پیام‌های ظاهراً معتبر مرتبط با حادثه را با احتیاط بررسی کنند. پیام‌های حاوی لینک یا پیوست باید تنها در صورتی باز شوند که از دامنه رسمی OpenAI ارسال شده باشند.

طبق گزارش بلیدینگ کامپیوتر، OpenAI همچنین توصیه کرده کاربران احراز هویت دو مرحله‌ای را فعال کنند و هیچ‌گونه اطلاعات حساس از جمله گذرواژه، کلید API یا کدهای تأیید را از طریق ایمیل، پیامک یا چت ارسال نکنند.

مدیرعامل Mixpanel، جن تیلور، اعلام کرده که تمامی مشتریان تحت تأثیر قرار گرفته به‌صورت مستقیم مطلع شده‌اند و افزود: «اگر از ما پیامی دریافت نکرده‌اید، یعنی تحت تأثیر قرار نگرفته‌اید.»

در پاسخ به این رخنه، Mixpanel حساب‌های آسیب‌دیده را ایمن‌سازی کرده، نشست‌ها و ورودهای فعال را لغو کرده، اعتبارنامه‌های به‌خطر افتاده را تغییر داده، آدرس‌های IP عامل تهدید را مسدود کرده و گذرواژه تمام کارکنان را بازنشانی کرده است. این شرکت همچنین کنترل‌های جدیدی برای جلوگیری از وقوع دوباره چنین حوادثی پیاده‌سازی کرده است.