Atak na platformę analityczną Mixpanel ujawnił dane użytkowników API OpenAI, choć nie obejmował haseł, kluczy ani informacji o płatnościach.
Jak doszło do ataku?
Gigant sztucznej inteligencji OpenAI poinformował w zeszłym tygodniu o naruszeniu bezpieczeństwa danych, które dotknęło użytkowników jego interfejsu programistycznego. Do wycieku doszło w wyniku ataku na firmę Mixpanel, dostawcę usług analitycznych współpracującego z twórcą ChatGPT.
Według Mixpanel, nieznany atakujący uzyskał dostęp do części systemów firmy i wyeksportował zbiór danych zawierający identyfikowalne metadane klientów oraz informacje analityczne. Skradzione dane obejmowały nazwy użytkowników, adresy email, przybliżoną lokalizację opartą na przeglądarce, system operacyjny oraz szczegóły dotyczące przeglądarki.
OpenAI zapewnia, iż wyciek nie obejmował pytań użytkowników (promptów), kluczy API, informacji o płatnościach ani tokenów uwierzytelniających. Naruszenie dotyczyło wyłącznie użytkowników, którzy korzystali z technologii OpenAI poprzez API, czyli przez zewnętrzne aplikacje wykorzystujące GPT. Osoby logujące się bezpośrednio do chatbota ChatGPT na stronie OpenAI nie zostały objęte incydentem.
Reakcja firm na incydent
OpenAI w swoim oświadczeniu podkreśliła, iż w ramach dochodzenia bezpieczeństwa usunęła Mixpanel ze swoich usług produkcyjnych, przeanalizowała dotknięte zbiory danych i współpracuje z Mixpanel oraz innymi partnerami w celu pełnego zrozumienia zakresu incydentu.
Firma Mixpanel, założona w 2009 roku w San Francisco, jest platformą analityczną służącą do śledzenia zachowań użytkowników w aplikacjach internetowych i mobilnych. Spółka wykryła kampanię smishingową i po wstępnym dochodzeniu poinformowała OpenAI o incydencie następnego dnia.
Smishing to rodzaj ataku phishingowego prowadzonego poprzez wiadomości SMS. Według październikowego raportu firmy Spacelift, smishing odpowiadał za 39 procent wszystkich zagrożeń mobilnych w 2024 roku.
Działania naprawcze i konsekwencje
Mixpanel zabezpieczyła dotknięte konta, unieważniła aktywne sesje, zmieniła skompromitowane dane uwierzytelniające i zablokowała złośliwe adresy IP. Firma zresetowała również hasła pracowników, zatrudniła zewnętrzne firmy zajmujące się cyberbezpieczeństwem i przeanalizowała logi uwierzytelniania, sesji i eksportu.
Prezes Mixpanel Jen Taylor zapewniła w oświadczeniu, iż firma powiadomiła wszystkich poszkodowanych klientów. Ci, którzy nie otrzymali bezpośredniego kontaktu, nie zostali objęci naruszeniem.
Pomimo zgłoszenia incydentu przez Mixpanel, OpenAI zdecydowała się zakończyć współpracę z firmą analityczną.
Po przeanalizowaniu tego incydentu, OpenAI zakończyła korzystanie z Mixpanel
– napisano w komunikacie.
Reakcje użytkowników
Część klientów OpenAI wyraziła w mediach społecznościowych frustrację faktem, iż usługa zewnętrzna miała dostęp do ich danych.
OpenAI zobowiązała się do transparentności i powiadomienia wszystkich poszkodowanych klientów, podkreślając iż rozlicza swoich partnerów i dostawców według najwyższych standardów bezpieczeństwa i prywatności.