Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Компрометация Mixpanel: угроза клиентам OpenAI

1 мин
Компания OpenAI уведомила часть клиентов, использующих API ChatGPT, о том, что в результате компрометации стороннего аналитического сервиса Mixpanel были раскрыты ограниченные идентифицирующие сведения. Киберинцидент затронул только клиентов API и не коснулся пользователей ChatGPT и других продуктов. Mixpanel предоставляет инструменты для сбора аналитики, которые OpenAI применяет для оценки взаимодействия с внешним интерфейсом своих API‑сервисов. Как следует из пресс-релиза, опубликованного OpenAI, киберинцидент не был напрямую связан с инфраструктурой самой компании. В частности, не были скомпрометированы пароли, токены, ключи API, данные чатов, платёжные реквизиты или номера удостоверений личности. В Mixpanel сообщили, что компрометация стала следствием смишинговой атаки — разновидности фишинга через текстовые сообщения. Инцидент был обнаружен 8 ноября, а OpenAI получила уточнённую информацию о затронутых данных 25 ноября, после того как Mixpanel завершила часть внутреннего расследов
Изображение: Om siva Prakash (unsplash)
Изображение: Om siva Prakash (unsplash)

Компания OpenAI уведомила часть клиентов, использующих API ChatGPT, о том, что в результате компрометации стороннего аналитического сервиса Mixpanel были раскрыты ограниченные идентифицирующие сведения. Киберинцидент затронул только клиентов API и не коснулся пользователей ChatGPT и других продуктов.

Mixpanel предоставляет инструменты для сбора аналитики, которые OpenAI применяет для оценки взаимодействия с внешним интерфейсом своих API‑сервисов. Как следует из пресс-релиза, опубликованного OpenAI, киберинцидент не был напрямую связан с инфраструктурой самой компании. В частности, не были скомпрометированы пароли, токены, ключи API, данные чатов, платёжные реквизиты или номера удостоверений личности.

В Mixpanel сообщили, что компрометация стала следствием смишинговой атаки — разновидности фишинга через текстовые сообщения. Инцидент был обнаружен 8 ноября, а OpenAI получила уточнённую информацию о затронутых данных 25 ноября, после того как Mixpanel завершила часть внутреннего расследования.

Среди раскрытых данных оказались:

  • имя, указанное в аккаунте API;
  • адрес электронной почты, связанный с этой учётной записью;
  • примерное географическое положение пользователя (город, регион, страна);
  • тип операционной системы и браузера;
  • ссылающиеся ресурсы;
  • идентификаторы пользователей или организаций, связанных с аккаунтом.

В OpenAI уточнили, что сброс паролей или обновление ключей API не требуется, так как конфиденциальные данные не утекли. При этом пользователям рекомендуется быть особенно осторожными: полученные сведения теоретически могут использоваться для фишинга или атак социальной инженерии.

Компания просит проявлять повышенное внимание к подозрительным письмам или сообщениям, особенно если они содержат ссылки или вложения. Все обращения должны исходить только из доменов OpenAI, а для дополнительной защиты следует активировать двухфакторную аутентификацию и никогда не передавать чувствительную информацию в текстовой форме, по почте или через мессенджеры.

Оригинал публикации на сайте CISOCLUB: "В результате атаки на Mixpanel произошла утечка данных клиентов API OpenAI".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются