СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
28 ноября
#Утечки #ИБ

В результате атаки на Mixpanel произошла утечка данных клиентов API OpenAI

В результате атаки на Mixpanel произошла утечка данных клиентов API OpenAI

Изображение: Om siva Prakash (unsplash)

Компания OpenAI уведомила часть клиентов, использующих API ChatGPT, о том, что в результате компрометации стороннего аналитического сервиса Mixpanel были раскрыты ограниченные идентифицирующие сведения. Киберинцидент затронул только клиентов API и не коснулся пользователей ChatGPT и других продуктов.

Mixpanel предоставляет инструменты для сбора аналитики, которые OpenAI применяет для оценки взаимодействия с внешним интерфейсом своих API‑сервисов. Как следует из пресс-релиза, опубликованного OpenAI, киберинцидент не был напрямую связан с инфраструктурой самой компании. В частности, не были скомпрометированы пароли, токены, ключи API, данные чатов, платёжные реквизиты или номера удостоверений личности.

В Mixpanel сообщили, что компрометация стала следствием смишинговой атаки — разновидности фишинга через текстовые сообщения. Инцидент был обнаружен 8 ноября, а OpenAI получила уточнённую информацию о затронутых данных 25 ноября, после того как Mixpanel завершила часть внутреннего расследования.

Среди раскрытых данных оказались:

  • имя, указанное в аккаунте API;
  • адрес электронной почты, связанный с этой учётной записью;
  • примерное географическое положение пользователя (город, регион, страна);
  • тип операционной системы и браузера;
  • ссылающиеся ресурсы;
  • идентификаторы пользователей или организаций, связанных с аккаунтом.

В OpenAI уточнили, что сброс паролей или обновление ключей API не требуется, так как конфиденциальные данные не утекли. При этом пользователям рекомендуется быть особенно осторожными: полученные сведения теоретически могут использоваться для фишинга или атак социальной инженерии.

Компания просит проявлять повышенное внимание к подозрительным письмам или сообщениям, особенно если они содержат ссылки или вложения. Все обращения должны исходить только из доменов OpenAI, а для дополнительной защиты следует активировать двухфакторную аутентификацию и никогда не передавать чувствительную информацию в текстовой форме, по почте или через мессенджеры.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: