„OpenAI“ praneša kai kuriems „ChatGPT API“ klientams, kad po trečiosios šalies analizės teikėjo „Mixpanel“ pažeidimo buvo atskleista ribota identifikavimo informacija.
„Mixpanel“ siūlo įvykių analizę, kurią „OpenAI“ naudoja naudotojo sąveikai API produkto sąsajoje stebėti.
Anot AI bendrovės, kibernetinis incidentas paveikė „ribotus analizės duomenis, susijusius su kai kuriais API naudotojais“, ir neturėjo įtakos „ChatGPT“ ar kitų produktų naudotojams.
„Tai nebuvo OpenAI sistemų pažeidimas. Jokie pokalbiai, API užklausos, API naudojimo duomenys, slaptažodžiai, kredencialai, API raktai, mokėjimo informacija ar vyriausybės ID nebuvo pažeisti arba atskleisti”, – sakoma OpenAI pranešime spaudai.
„Mixpanel“ pranešė, kad ataka „paveikė ribotą skaičių mūsų klientų“ ir įvyko dėl sukčiavimo (SMS) kampanijos, kurią bendrovė aptiko lapkričio 8 d.
„OpenAI“ gavo išsamią informaciją apie paveiktą duomenų rinkinį lapkričio 25 d., kai buvo informuota apie „Mixpanel“ vykdomą tyrimą.
AI įmonė pažymi, kad atskleista informacija gali apimti:
- Vardas, kuris mums buvo pateiktas API paskyroje
- El. pašto adresas, susietas su API paskyra
- Apytikslė apytikslė vieta pagal API naudotojo naršyklę (miestas, valstija, šalis)
- Prieigai prie API paskyros naudojama operacinė sistema ir naršyklė
- Nurodančios svetainės
- Organizacijos arba naudotojo ID, susieti su API paskyra
Kadangi nebuvo atskleisti jautrūs kredencialai, vartotojams nereikia iš naujo nustatyti slaptažodžių arba iš naujo generuoti API raktų.
Kai kurie vartotojai praneša, kad taip pat buvo paveikta kriptovaliutų portfelio stebėjimo ir mokesčių platforma „CoinTracker“, nes buvo atskleisti duomenys, įskaitant įrenginio metaduomenis ir ribotą operacijų skaičių.
„OpenAI“ pradėjo tyrimą, kad nustatytų visą incidento mastą. Atsargumo sumetimais ji pašalino „Mixpanel“ iš savo gamybos paslaugų ir apie tai tiesiogiai praneša organizacijoms, administratoriams ir atskiriems vartotojams.
Nors OpenAI pabrėžia, kad paveikta tik jos API naudotojai, ji pranešė visiems savo prenumeratoriams.
Bendrovė perspėja, kad nutekėję duomenys gali būti panaudoti sukčiavimo ar socialinio inžinerijos atakoms, ir pataria vartotojams stebėti, ar nėra patikimai atrodančių kenkėjiškų pranešimų, susijusių su incidentu.
Pranešimai, kuriuose yra nuorodų ar priedų, turėtų būti patikrinti, siekiant užtikrinti, kad jie kilę iš oficialaus OpenAI domeno.
Bendrovė taip pat ragina vartotojus įjungti 2FA ir niekada nesiųsti slaptos informacijos, įskaitant slaptažodžius, API raktus ar patvirtinimo kodus, el. paštu, teksto žinutėmis ar pokalbiais.
„Mixpanel“ generalinė direktorė Jen Taylor teigė, kad su visais paveiktais klientais buvo susisiekta tiesiogiai. „Jei apie mus nieko negirdėjote, tai nebuvo paveikta“, – pažymėjo ji.
Reaguodama į ataką, „Mixpanel“ apsaugojo paveiktas paskyras, atšaukė aktyvius seansus ir prisijungimus, pakeitė pažeistus kredencialus, užblokavo grėsmės veikėjo IP adresus ir iš naujo nustatė visų darbuotojų slaptažodžius. Bendrovė taip pat įdiegė naujas kontrolės priemones, kad būtų išvengta panašių incidentų ateityje.
Nesvarbu, ar valote senus raktus, ar nustatote AI sukurto kodo apsauginius turėklus, šis vadovas padės jūsų komandai saugiai kurtis nuo pat pradžių.
Gaukite sukčiavimo lapą ir pašalinkite spėliones iš paslapčių valdymo.
