OpenAI повідомила про витік даних деяких користувачів API через злам стороннього постачальника аналітики Mixpanel, що спричинив розкриття неповної ідентифікаційної інформації, але не торкнувся чатів, API-запитів чи ключів доступу.
OpenAI надіслала сповіщення користувачам API ChatGPT про інцидент, пов’язаний зі стороннім сервісом аналітики Mixpanel. Унаслідок SMS-фішингової атаки зловмисники отримали доступ до обмеженого набору аналітичних даних, включно з іменем, email, приблизним місцезнаходженням та технічною інформацією про браузер і операційну систему, які використовувалися для звернення до API.
Компанія підкреслює, що дані ChatGPT, історія чатів, API-запити, ключі доступу, платіжна інформація та інші конфіденційні відомості не були скомпрометовані. За словами Mixpanel, атака була спрямована на окремих клієнтів і стала результатом смішингу, виявленого 8 листопада. OpenAI отримала деталізовану інформацію про витік 25 листопада й одразу почала власне розслідування.
Користувачів попереджають про ризик фішингових та соціально-інженерних атак, які можуть використовувати розкриті дані. Компанія вже видалила Mixpanel зі своїх внутрішніх сервісів, повідомила всі організації та адміністраторів, а сам Mixpanel запровадив додаткові заходи безпеки: скинув сеанси, провів ротацію токенів і заблокував IP-адреси зловмисників.
Mixpanel забезпечує подієву аналітику для API-платформ OpenAI. Атака була частиною ширшої кампанії смішингу, яка спрямовувалась на отримання доступу до внутрішніх інструментів компаній через підміну повідомлень. Згідно з повідомленнями користувачів, інцидент зачепив не лише OpenAI — зокрема, сервіс CoinTracker також підтвердив витоки метаданих пристроїв і деяких криптотранзакцій.
Хоча скомпрометовані дані не включали високочутливу інформацію, такі витоки створюють ризик для цільового фішингу та спроб перехоплення облікових записів.
Інцидент демонструє, що навіть великі технологічні компанії залишаються вразливими через ланцюг постачальників. OpenAI вживає заходів для обмеження наслідків та запевняє, що основні системи не постраждали. Однак користувачам API рекомендують посилити безпеку акаунтів і пильніше ставитися до підозрілих повідомлень.
