OpenAI potvrzuje incident s únikem dat
Společnost OpenAI, tvůrce ChatGPT, potvrdila bezpečnostní incident, který podle jejích slov není její chybou. Únik dat se týká třetí strany, poskytovatele analytiky Mixpanel, což vedlo k vystavení omezených uživatelských údajů spojených s jejím API platformou.
„Toto nebyl únik systémů OpenAI. Nebyly kompromitovány ani vystaveny žádné chaty, API požadavky, data o využívání API, hesla, přihlašovací údaje, API klíče, platební informace nebo vládní ID,“ uvedla společnost v e-mailu, kterým upozorňuje uživatele.
Mixpanel se údajně stal vědomý útočníka 9. listopadu, uvedla OpenAI. Útočník získal neoprávněný přístup k části jeho systémů a exportoval dataset, který obsahoval omezené identifikovatelné informace o zákaznících a analytická data. OpenAI oznámila, že informace, které mohly být ovlivněny, se omezovaly na jména, e-mailové adresy a identifikátory uživatelů.
OpenAI uvedla, že ukončila používání Mixpanelu a znovu potvrdila, že únik nebyl způsoben žádnými zranitelnostmi v systémech OpenAI. Co to znamená pro vaše údaje?
Společnost oznámila, že provede vyšetřování incidentu a vyzvala uživatele, aby byli zvlášť obezřetní vůči phishingovým útokům a podvodům na sociálním inženýrství, které se mohou pokusit zneužít odcizená data. Uživatelé byli také povzbuzeni, aby aktivovali dvoufaktorovou autentizaci jako další ochranné opatření pro své účty.
Ačkoli OpenAI uvedla, že žádné konverzace s ChatGPT nebyly vystaveny, tento incident je připomínkou toho, kolik osobních údajů OpenAI má k dispozici, když lidé svěřují své myšlenky chatbotům. OpenAI plánuje zavést přísnější bezpečnostní požadavky pro všechny externí partnery.
Použití analýzy Mixpanel je standardní praxí, která však sledovala data jako e-mailové adresy a polohu, jež nebyla nezbytná pro zlepšení výrobku, čímž mohla porušit princip minimalizace údajů GDPR, uvedl Moshe Siman Tov Bustan, vedoucí výzkumného týmu v oblasti bezpečnosti společnosti OX Security.
„Společnosti – od technologických gigantů jako OpenAI po jednoosobové startupy – by měly vždy usilovat o nadměrnou ochranu a anonymizaci zákaznických dat zasílaných třetím stranám, aby se vyhnuly krádeži těchto informací nebo jejich úniku,“ řekl pro Euronews Next. „Dokonce i při použití legitimních, ověřených dodavatelů vytváří každý kousek identifikovatelného data zasílaného externě další potenciální bod vystavení.“
