Atak na Mixpanel. Wyciekły dane użytkowników OpenAI

Mixpanel, firma oferująca narzędzia do analizy danych związanych z usługami i aplikacjami, poinformowała o incydencie bezpieczeństwa. Problem został wykryty 8 listopada br., jednak informacje o nim zostały opublikowane przez firmę ponad dwa tygodnie później - 25 listopada.

Wśród firm współpracujących z Mixpanel jest m.in. OpenAI, a to oznacza, że część danych użytkowników mogła być narażona.

Smishing i kompleksowe kroki

Incydent dotyczył kampanii smishingowej. W oficjalnym oświadczeniu Mixpanel, dyrektor generalny oświadczył, że podjęto „kompleksowe kroki w celu ograniczenia i wyeliminowania nieautoryzowanego dostępu oraz zabezpieczenia kont użytkowników, których dotyczył incydent”. Firma kontaktowała się z klientami, których dane zostały naruszone.

OpenAI również podjęło kroki w sprawie incydentu i zdecydowało się poinformować osoby, które były narażone na wyciek danych. Z komunikatu wynika, że systemy ChatGPT, dane API, hasła, klucze oraz informacje o płatnościach nie zostały naruszone.

Koniec współpracy

Cyberprzestępca jest jednak w posiadaniu „ograniczonego zestawu danych” Mixpanel, który zawiera dane profilu użytkownika z platformy OpenAI: imię, nazwisko, adres e-mail, przybliżoną lokalizację oraz informację o systemie operacyjnym lub przeglądarce. Wskutek zdarzenia, OpenAI zdecydowało się zakończyć współpracę z Mixpanel:

„Oczekujemy od naszych partnerów i dostawców najwyższych standardów bezpieczeństwa i ochrony prywatności ich usług. Po przeanalizowaniu tego incydentu OpenAI zakończyło korzystanie z Mixpanel - czytamy w komunikacie firmy, rozesłanym do klientów dwa dni później.

Jak podkreśla Andrew Hatfield, założyciel firmy Deep Star Strategic, to aż „18 dni narażenia na atak przed podaniem informacji, że dane zostały naruszone.”