Bezpečnostní incident OpenAI: Únik dat prostřednictvím Mixpanelu

Společnost OpenAI potvrdila bezpečnostní incident, který se týkal třetí strany, analytického poskytovatele Mixpanel.

Tvůrce ChatGPT, OpenAI, oznámil, že tento incident není jeho vina. Únik dat se týká externího poskytovatele analytiky, Mixpanel, což vedlo k vystavení omezených uživatelských dat spojených s jeho API platformou.

„Nejednalo se o narušení systémů OpenAI. Žádné chaty, žádosti API, data o používání API, hesla, přihlašovací údaje, klíče API, platební údaje nebo vládní identifikátory nebyly ohroženy ani zveřejněny,“ uvedla společnost v e-mailu, kterým informovala uživatele ve čtvrtek.

Mixpanel údajně zjistil přístup útočníka 9. listopadu, uvedl OpenAI. Útočník získal neoprávněný přístup k části jeho systémů a exportoval datovou soupravu, která obsahovala omezené údaje o zákaznících a analytická data.

OpenAI sdělila, že informace, které mohly být ovlivněny, se omezovaly na jména, e-mailové adresy a identifikátory uživatelů. Dále společnost uvedla, že ukončila používání Mixpanelu a potvrdila, že únik nebyl způsoben žádnými zranitelnostmi v systémech OpenAI.

Co to znamená pro vaše data?

Společnost uvedla, že vyšetří incident a varovala uživatele, aby byli obezřetní vůči phishingovým útokům a podvodům sociálního inženýrství, které by mohly zkusit zneužít ukradená data. Uživatelé byli vyzváni k aktivaci dvoufaktorové autentizace jako dodatečné ochranné opatření pro své účty.

Ačkoli OpenAI potvrdila, že na žádné konverzace s ChatGPT nebylo přistoupeno, incident připomíná, kolik osobních údajů má OpenAI k dispozici, neboť lidé často sdílí osobní informace s chatovacími boty.

OpenAI plánuje zavést přísnější bezpečnostní požadavky pro všechny externí partnery. Ačkoli používání analytiky Mixpanel ze strany OpenAI je běžnou praxí, sledovalo se při něm data jako e-mailové adresy a umístění, která nebyla nezbytná pro zlepšení produktu, což mohlo porušit princip minimalizace údajů GDPR, uvedl Moshe Siman Tov Bustan, vedoucí týmu bezpečnostního výzkumu ve společnosti OX Security, která se zabývá bezpečností AI.

„Firmy – od technologických gigantů, jako je OpenAI, po jednopersonální startupy – by se měly vždy snažit o nadměrnou ochranu a anonymizaci zákaznických dat, která jsou zasílána třetím stranám, aby se předešlo krádeži nebo narušení těchto informací,“ řekl Euronews Next.

„I když používají legitimní, prověřené dodavatele, každý identifikovatelný údaj zaslaný externě vytváří další potenciální bod pro vystavení.“

admin
admin
Articles: 619

Related Posts