Η OpenAI επιβεβαίωσε περιστατικό παραβίασης ασφαλείας που συνδέεται με εξωτερικό πάροχο αναλυτικών δεδομένων τρίτου μέρους, τη Mixpanel.
Η OpenAI, η εταιρεία πίσω από το ChatGPT, επιβεβαίωσε ένα περιστατικό ασφαλείας, για το οποίο αναφέρει ότι δεν φέρει ευθύνη.
Η παραβίαση δεδομένων αφορά την εταιρεία ανάλυσης Mixpanel και είχε ως αποτέλεσμα την αποκάλυψη περιορισμένων στοιχείων χρηστών που συνδέονται με την πλατφόρμα API της OpenAI.
«Δεν επρόκειτο για παραβίαση των συστημάτων της OpenAI. Κανένα περιεχόμενο συνομιλιών, αιτήματα προς το API, δεδομένα χρήσης του API, κωδικοί πρόσβασης, διαπιστευτήρια, κλειδιά API, στοιχεία πληρωμών ή κρατικά αναγνωριστικά δεν παραβιάστηκαν ή εκτέθηκαν», ανέφερε η εταιρεία σε email με το οποίο ενημέρωσε τους χρήστες την Πέμπτη.
Σύμφωνα με την OpenAI, η Mixpanel αντιλήφθηκε την παρουσία ενός εισβολέα στις 9 Νοεμβρίου.
Ο δράστης απέκτησε μη εξουσιοδοτημένη πρόσβαση σε τμήμα των συστημάτων της Mixpanel και εξήγαγε ένα σύνολο δεδομένων με περιορισμένα στοιχεία ταυτοποίησης πελατών και δεδομένα ανάλυσης.
Η OpenAI ανέφερε ότι τα στοιχεία που ενδέχεται να επηρεάστηκαν περιορίζονται σε ονόματα, διευθύνσεις email και αναγνωριστικά χρηστών.
Η OpenAI δήλωσε ότι διέκοψε τη χρήση της Mixpanel και επανέλαβε ότι η παραβίαση δεν οφειλόταν σε ευπάθειες στα δικά της συστήματα.
Τι σημαίνει αυτό για τα δεδομένα σας;
Η εταιρεία ανέφερε ότι θα διερευνήσει την παραβίαση και προέτρεψε τους χρήστες να είναι ιδιαίτερα προσεκτικοί απέναντι σε επιθέσεις τύπου phishing και απάτες κοινωνικής μηχανικής που μπορεί να επιχειρήσουν να αξιοποιήσουν τα κλεμμένα δεδομένα.
Οι χρήστες ενθαρρύνονται να ενεργοποιήσουν την πολυπαραγοντική αυθεντικοποίηση ως πρόσθετο μέτρο προστασίας για τους λογαριασμούς τους.
Παρότι η OpenAI ανέφερε ότι δεν εκτέθηκαν συνομιλίες με το ChatGPT, το περιστατικό υπενθυμίζει πόσα προσωπικά δεδομένα έχει στη διάθεσή της η OpenAI, καθώς πολλοί χρήστες εξομολογούνται στα chatbots.
Η OpenAI δήλωσε ότι σκοπεύει να επιβάλει αυστηρότερες απαιτήσεις ασφάλειας σε όλους τους εξωτερικούς συνεργάτες.
Παρότι η χρήση των αναλυτικών της Mixpanel από την OpenAI είναι συνήθης πρακτική, καταγράφονταν δεδομένα όπως διευθύνσεις email και τοποθεσία που δεν ήταν απαραίτητα για τη βελτίωση του προϊόντος, κάτι που ενδεχομένως παραβιάζει την αρχή ελαχιστοποίησης δεδομένων του GDPR, δήλωσε ο Moshe Siman Tov Bustan, επικεφαλής ομάδας ερευνητών ασφαλείας στην OX Security, εταιρεία ασφάλειας τεχνητής νοημοσύνης.
«Οι εταιρείες, από τεχνολογικούς κολοσσούς όπως η OpenAI μέχρι μονοπρόσωπα startups, πρέπει πάντα να προστατεύουν τα δεδομένα πελατών στον μέγιστο δυνατό βαθμό και να τα ανωνυμοποιούν όταν τα στέλνουν σε τρίτους, ώστε να αποτραπεί η κλοπή ή η παραβίασή τους», είπε στο Euronews Next.
«Ακόμη και με τη χρήση νόμιμων, ελεγμένων παρόχων, κάθε στοιχείο ταυτοποιήσιμων δεδομένων που αποστέλλεται εκτός εταιρείας δημιουργεί ένα ακόμη πιθανό σημείο έκθεσης».