OpenAI הודיעה על פריצה שחשפה נתוני משתמשים "באופן מוגבל"

ענקית הבינה המלאכותית OpenAI הודיע השבוע כי במהלך החודש הנוכחי נחשפו נתוני משתמשים שלה. הצמיחה המהירה של החברה, שעומדת מאחורי הכלי הפופולרי ChatGPT ומודלי ה-GPT, הפכה אותה לאחת המטרות החשובות בעולם עבור האקרים.

אירוע האבטחה קשור לצד שלישי – ספקית האנליטיקה מיקספאנל (Mixpanel). לפי OpenAI, "חשיפת נתוני המשתמשים הייתה מוגבלת", וקשורה לפלטפורמת ה-API שלה. "האירוע לא השפיע על המערכות שלנו, ולא פגע בפרטי המשתמשים, התשלומים או בנתוני ה-API", טענה החברה.

ההאקרים הצליחו להשיג גישה לא מורשית למאגר נתונים בתוך מערכות מיקספאנל. OpenAI דיווחה כי התוקפים קצרו נתונים המכילים "מידע מזהה מסוים" של משתמשי חשבונות ה-API. "הפרטים העלולים להיחשף, כוללים שמות שסופקו בחשבונות API, כתובות מייל, פרטי מערכת הפעלה ודפדפן, ומזהי הארגון, או המשתמש – מקושרים לחשבונות ה-API", ציינה החברה. OpenAI הדגישה כי ההאקרים לא השיגו גישה ליומני צ'ט, בקשות API, סיסמאות, מפתחות, פרטי תשלום או מסמכי זיהוי רגישים.

"הפריצה השפיעה רק על מידע שנאסף למטרות ניתוח דרך מיקספאנל", כתבה החברה של סם אלטמן. לדבריה, אין ראיות לכך שהאירוע השפיע על מערכות או מידע מחוץ לסביבה של החברה הספקית.

בתגובה לאירוע, OpenAI השביתה את השימוש במיקספאנל ובחנה את כל מערכי הנתונים המעורבים באירוע. החברה הצהירה כי "עבדנו עם מיקספאנל ושותפים נוספים להערכת היקף הפריצה. אנחנו נמצאים בקשר ישיר עם ארגונים ומשתמשים שנפגעו מהאירוע".

"סיכון מוגבר לניסיונות פישינג או הנדסה חברתית"

מומחים ציינו כי "מידע שניתן לגשת אליו דרך מערכות מיקספאנל עלול לחשוף משתמשים לסיכון מוגבר לניסיונות פישינג או הנדסה חברתית. שמות, כתובות אימייל ומזהי משתמשים היו בין הפרטים שנחשפו".

OpenAI הדגישה שהיא לא מבקשת מידע רגיש כגון סיסמאות, מפתחות API או קודי אימות – באמצעות מיילים, הודעות טקסט או צ'טים. עוד היא כתבה ש-"אף משתמש ChatGPT לא נפגע, אך אנחנו מציינים בפני המפתחים שעליהם להיזהר ממיילים חשודים".

ג'ייק מור, יועץ אבטחת סייבר עולמי ב-ESET, אמר כי "על אף שהנתונים שנחשפו היו רגישים במידה מועטה, ניתן לשלב אותם במהלך יצירה של הודעות מזויפות משכנעות".

ג'ן טיילור, מנכ"לית מיקספאנל, הדגישה שהחברה יוצרת קשר עם כל הלקוחות שנפגעו, וכי היא יצרה קשר עם רשויות החוק בנוגע למתקפה. לדבריה, "הפריצה למערכות שלנו נבעה מהתקפת סמישינג (פישינג קולי), שזוהתה ב-8 בנובמבר".

למיקספאנל יש יותר מ-11 אלף משתמשים עסקיים. לא היא ולא OpenAI מסרו כמה אנשים נפגעו מגניבת המידע.

בשנה שעברה דיווח הניו יורק טיימס שהאקר השיג גישה למערכות ההודעות הפנימיות של OpenAI וגנב נתונים שקשורים לטכנולוגיית בינה מלאכותית מתקדמת. ביוני באותה השנה, חוקר לשעבר של OpenAI טען כי הוא פוטר לאחר שהעלה חששות לגבי אבטחת המידע של החברה ובשל איום אפשרי לריגול סיני. OpenAI לא הגיבה לאותם פרסומים, אך הודיעה שהיא מקשיחה את דרישות האבטחה שלה מספקיות הגנת סייבר.