Разработчик ChatGPT компания OpenAI сообщила об инциденте в сфере безопасности. Он произошел в начале ноября.
«Инцидент произошел в системах Mixpanel и затронул ограниченные аналитические данные, относящиеся к некоторым пользователям API. Пользователи ChatGPT и других продуктов не пострадали», — говорится в сообщении компании.
Отмечается, что системы безопасности OpenAI не были нарушены.
«Никакие чаты, запросы API, данные об использовании API, пароли, учётные данные, ключи API, платёжные данные или правительственные идентификаторы не были скомпрометированы или раскрыты», — заверили в компании.
Как следует из сообщения, 9 ноября компания Mixpanel узнала, что злоумышленник получил несанкционированный доступ к части её систем и экспортировал набор данных, содержащий ограниченную информацию, позволяющую идентифицировать клиентов, и аналитические данные. Mixpanel уведомила OpenAI о проведении расследования, а 25 ноября предоставила затронутый набор данных.
OpenAI информирует, что данные, связанные с использованием platform.openai.com, могли находиться среди данных, выкачанных из Mixpanel.
Они включают:
- имя в учетной записи API;
- адрес электронной почты, связанный с учетной записью API;
- примерное местоположение на основе API браузера пользователя (город, штат, страна);
- операционная система и браузер, используемые для доступа к учетной записи API;
- ссылающиеся сайты;
- идентификаторы организаций или пользователей, связанные с учетной записью API.
«В рамках расследования безопасности мы удалили Mixpanel из наших производственных сервисов, проверили затронутые наборы данных и тесно сотрудничаем с Mixpanel и другими партнёрами для полного понимания инцидента и его масштабов. Мы напрямую уведомляем пострадавшие организации, администраторов и пользователей. Хотя мы не обнаружили никаких признаков какого-либо воздействия на системы или данные за пределами среды Mixpanel, мы продолжаем внимательно отслеживать любые признаки несанкционированного использования», — говорится в сообщении OpenAI.
В компании полагают, что утекшие данные могут быть использованы в фишинговых атаках, а также атаках с применением методов социальной инженерии. OpenAI призывает осторожно относиться к рассылкам от ее имени, проверять, откуда именно отправлено сообщения. Компания подчеркивает, что не запрашивает пароли, ключи API или коды подтверждения по электронной почте, в текстовых сообщениях или чате.