OpenAI a anunțat că o breșă de securitate la furnizorul său de analytics Mixpanel a expus date de identificare limitate ale unor utilizatori ai platformei API, fără a afecta infrastructura sau sistemele companiei.
Incidentul a fost declanșat de o campanie de smishing (SMS phishing) detectată de Mixpanel pe 8 noiembrie, care a dus la acces neautorizat la o parte din sistemele companiei și exportul unui set de date cu informații de analiză despre clienți.
Potrivit OpenAI, datele potențial expuse pentru un subset de utilizatori API includ numele asociat contului API, adresa de e‑mail, locația aproximativă derivată din browser (oraș, stat, țară), sistemul de operare și browserul folosit, site‑urile de referință și ID‑urile de organizație sau de utilizator
Compania AI precizează că nu au fost compromise conținutul conversațiilor, solicitările API, datele de utilizare, parolele, credențialele, cheile API, datele de plată sau actele de identitate, iar utilizatorii ChatGPT și ai altor produse decât API nu sunt afectați.
Mixpanel a declarat că incidentul a afectat un număr limitat de clienți și că a notificat direct toate organizațiile impactate; clienții care nu au primit notificare nu sunt considerați afectați.
În urma incidentului, Mixpanel a securizat conturile vizate, a revocat sesiunile și autentificările active, a resetat parolele tuturor angajaților, a blocat adresele IP malițioase, a înregistrat indicatorii de compromitere în platforma SIEM și a inițiat o investigație de forensică digitală cu suport extern.
Pe 25 noiembrie, Mixpanel a transmis către OpenAI seturile de date expuse în urma incidentului. Ca măsură de precauție, OpenAI a eliminat Mixpanel din serviciile sale de producție și desfășoară verificări suplimentare de securitate asupra întregului ecosistem de furnizori, ridicând cerințele de securitate pentru parteneri.
OpenAI notifică direct organizațiile și utilizatorii API potențial afectați și recomandă vigilență față de tentative de phishing sau inginerie socială care ar putea exploata datele de contact expuse, inclusiv verificarea atentă a linkurilor și activarea autentificării cu doi factori.
Mixpanel a transmis că, dacă un client nu a primit comunicare directă, nu trebuie să ia nicio măsură legată de acest incident.
Utilizatorii afectați sunt îndrumați să urmeze instrucțiunile primite în notificările oficiale de la OpenAI sau Mixpanel și să contacteze canalele de suport indicate pentru clarificări suplimentare.
