شرکت OpenAI اعلام کرد رخنه امنیتی در شرکت Mixpanel باعث افشای بخشی محدود از دادههای هویتی برخی کاربران API شده و این حادثه هیچ تاثیری بر ChatGPT نداشته است.
به گزارش سرویس خبری هوش مصنوعی تکناک، OpenAI اعلام کرده است که به برخی از مشتریان API خود اطلاعرسانی میکند، زیرا بهدنبال یک رخنه امنیتی در شرکت تحلیلی طرفسوم Mixpanel، بخشی محدود از اطلاعات هویتی کاربران در معرض افشا قرار گرفته است.
Mixpanel ارائهدهنده ابزارهای تحلیل رویداد است و OpenAI از خدمات آن برای ردیابی تعاملات کاربران در رابط فرانتاند محصول API استفاده میکند.
بهگفته OpenAI، این حادثه سایبری تنها بخشی از «دادههای تحلیلی محدود مربوط به برخی کاربران API» را تحت تأثیر قرار داده و هیچگونه تأثیری بر کاربران ChatGPT یا دیگر محصولات این شرکت نداشته است. البته، ناگفته نماند که پیش از این نیز در مرداد ماه تعداد زیادی گفتگوهای کاربران در چت جیپیتی لو رفته بود. همچنین تاکنون هکرهای زیادی تلاش بر لو دادن اطلاعات و سرقت فناوری OpenAI کردهاند که برخی از آنها نیز موفق شدهاند.
OpenAI در بیانیه رسمی خود تأکید کرده که «این یک رخنه در سیستمهای OpenAI نبود» و هیچ گفتوگو، درخواست API، دادههای استفاده از API، گذرواژه، اعتبارنامه، کلید API، اطلاعات پرداخت یا مدارک هویتی دولتی افشا یا نقض نشده است.
Mixpanel اعلام کرده که این حمله تنها «تعدادی محدود از مشتریان» را تحت تأثیر قرار داده و منشأ آن یک کارزار اسمیشینگ (فیشینگ از طریق پیامک) بوده که شرکت در تاریخ ۸ نوامبر آن را شناسایی کرده است. OpenAI نیز در ۲۵ نوامبر جزئیات دادههای تحت تأثیر قرار گرفته را، در جریان تحقیقات جاری Mixpanel، دریافت کرده است.
اطلاعاتی که ممکن است افشا شده باشند شامل موارد زیر هستند:
- نام ثبتشده در حساب API
- آدرس ایمیل مرتبط با حساب API
- موقعیت جغرافیایی تقریبی بر اساس مرورگر کاربر (شهر، ایالت، کشور)
- سیستمعامل و مرورگر مورد استفاده برای دسترسی به حساب API
- وبسایتهای ارجاعدهنده
- شناسه سازمان یا کاربر مرتبط با حساب API
از آنجایی که هیچ اعتبارنامه حساسی افشا نشده، کاربران نیازی به تغییر گذرواژه یا بازنشانی کلیدهای API ندارند.
برخی کاربران گزارش دادهاند که CoinTracker، پلتفرم مدیریت سبد کریپتو و ابزار محاسبه مالیات، نیز تحت تأثیر قرار گرفته و دادههای افشا شده شامل فراداده دستگاه و تعداد محدودی از تراکنشها بوده است.
OpenAI تحقیقات خود را برای تعیین دامنه کامل حادثه آغاز کرده و بهعنوان اقدام احتیاطی، Mixpanel را از سرویسهای عملیاتی خود حذف کرده است. این شرکت همچنین در حال اطلاعرسانی مستقیم به سازمانها، مدیران و کاربران فردی است.
OpenAI تأکید کرده که تنها کاربران API تحت تأثیر قرار گرفتهاند، اما با این حال اطلاعرسانی را برای همه مشترکان خود ارسال کرده است.
شرکت هشدار داده که دادههای افشا شده میتواند برای حملات فیشینگ یا مهندسی اجتماعی مورداستفاده قرار گیرد و از کاربران خواسته پیامهای مشکوک و حتی پیامهای ظاهراً معتبر مرتبط با حادثه را با احتیاط بررسی کنند. پیامهای حاوی لینک یا پیوست باید تنها در صورتی باز شوند که از دامنه رسمی OpenAI ارسال شده باشند.
طبق گزارش بلیدینگ کامپیوتر، OpenAI همچنین توصیه کرده کاربران احراز هویت دو مرحلهای را فعال کنند و هیچگونه اطلاعات حساس از جمله گذرواژه، کلید API یا کدهای تأیید را از طریق ایمیل، پیامک یا چت ارسال نکنند.
مدیرعامل Mixpanel، جن تیلور، اعلام کرده که تمامی مشتریان تحت تأثیر قرار گرفته بهصورت مستقیم مطلع شدهاند و افزود: «اگر از ما پیامی دریافت نکردهاید، یعنی تحت تأثیر قرار نگرفتهاید.»
در پاسخ به این رخنه، Mixpanel حسابهای آسیبدیده را ایمنسازی کرده، نشستها و ورودهای فعال را لغو کرده، اعتبارنامههای بهخطر افتاده را تغییر داده، آدرسهای IP عامل تهدید را مسدود کرده و گذرواژه تمام کارکنان را بازنشانی کرده است. این شرکت همچنین کنترلهای جدیدی برای جلوگیری از وقوع دوباره چنین حوادثی پیادهسازی کرده است.
