Az OpenAI megerősítette, hogy az API felhasználói adatai nyilvánosságra jutottak a Mixpanel biztonsági résének következtében.
Néhány API-felhasználó korlátozott profiladatai kiszivárogtak a Mixpanel analitikai szolgáltatón keresztül; csevegési tartalom, fizetési adatok vagy jelszavak nem kerültek veszélybe.
Az OpenAI megerősítette, hogy a Mixpanelnél, az egyik külső analitikai szolgáltatójánál történt biztonsági rés miatt korlátozott profilinformációk kerültek nyilvánosságra néhány API szolgáltatásuk felhasználójáról.
Az eset november 9-én történt, amikor a Mixpanel észlelte, hogy egy támadó hozzáfért a rendszereihez és exportálta az OpenAI API analitikai műszerfalához kapcsolódó adatokat.
Az OpenAI tájékoztatása szerint a kompromittált információk között felhasználónevek, e-mail címek, körülbelüli földrajzi helyzet, böngésző- és operációs rendszer részletek, hivatkozási információk és belső fiókazonosítók szerepeltek.
Nem kerültek nyilvánosságra csevegési tartalmak, fizetési adatok, API kulcsok, jelszavak vagy bármilyen érzékeny hitelesítési adat, és a rendszeres ChatGPT felhasználókat nem érintette az eset.
A rés megerősítése után az OpenAI azonnal eltávolította a Mixpanelt a termelési környezetéből, leállította az összes adatmegosztást a szolgáltatással, és közvetlenül értesítette az érintett API ügyfeleket.
A cég emellett elkötelezte magát a beszállítói biztonsági követelmények szigorítása mellett, valamint a harmadik féltől származó integrációk felülvizsgálata mellett.
Bár a kiszivárgott információkat alacsony érzékenységűnek tartják, a kiberbiztonsági szakértők figyelmeztetnek, hogy ezek még mindig lehetővé tehetik a célzott adathalász vagy social engineering kampányokat.
Az OpenAI arra figyelmeztette az API felhasználókat, hogy legyenek éberek a gyanús kommunikációkra, de kijelentette, hogy a jelszavak visszaállítása nem szükséges, mivel nem loptak el hozzáférési adatokat.
Az eset rámutat a nagy technológiai vállalatokat fenyegető széleskörű kockázatokra, amikor külső analitikai szolgáltatókra támaszkodnak.
Miközben az OpenAI folytatja a nyomozást, a cég azt állítja, hogy megerősíti a beszállítói lánc partnereinek felügyeletét és finomítja belső adatmegosztási politikáit, hogy megelőzze a hasonló sebezhetőségeket a jövőben.
Az eset november 9-én történt, amikor a Mixpanel észlelte, hogy egy támadó hozzáfért a rendszereihez és exportálta az OpenAI API analitikai műszerfalához kapcsolódó adatokat.
Az OpenAI tájékoztatása szerint a kompromittált információk között felhasználónevek, e-mail címek, körülbelüli földrajzi helyzet, böngésző- és operációs rendszer részletek, hivatkozási információk és belső fiókazonosítók szerepeltek.
Nem kerültek nyilvánosságra csevegési tartalmak, fizetési adatok, API kulcsok, jelszavak vagy bármilyen érzékeny hitelesítési adat, és a rendszeres ChatGPT felhasználókat nem érintette az eset.
A rés megerősítése után az OpenAI azonnal eltávolította a Mixpanelt a termelési környezetéből, leállította az összes adatmegosztást a szolgáltatással, és közvetlenül értesítette az érintett API ügyfeleket.
A cég emellett elkötelezte magát a beszállítói biztonsági követelmények szigorítása mellett, valamint a harmadik féltől származó integrációk felülvizsgálata mellett.
Bár a kiszivárgott információkat alacsony érzékenységűnek tartják, a kiberbiztonsági szakértők figyelmeztetnek, hogy ezek még mindig lehetővé tehetik a célzott adathalász vagy social engineering kampányokat.
Az OpenAI arra figyelmeztette az API felhasználókat, hogy legyenek éberek a gyanús kommunikációkra, de kijelentette, hogy a jelszavak visszaállítása nem szükséges, mivel nem loptak el hozzáférési adatokat.
Az eset rámutat a nagy technológiai vállalatokat fenyegető széleskörű kockázatokra, amikor külső analitikai szolgáltatókra támaszkodnak.
Miközben az OpenAI folytatja a nyomozást, a cég azt állítja, hogy megerősíti a beszállítói lánc partnereinek felügyeletét és finomítja belső adatmegosztási politikáit, hogy megelőzze a hasonló sebezhetőségeket a jövőben.
