OpenAI pranon një cenim të të dhënave pasi partneri i analizave u godit nga një sulm phishing

OpenAI ka pësuar një shkelje të konsiderueshme të të dhënave pasi hakerat kanë hyrë në sistemet e partnerit të saj të analitikës Mixpanel dhe kanë vjedhur me sukses informacionin e profilit të klientëve për portalin e saj API, thanë kompanitë në deklarata të koordinuara.

Sipas një postimi nga CEO-ja e Mixpanel, Jen Taylor, incidenti ndodhi më 8 nëntor kur kompania “zbuloi një fushatë sulmuese dhe ekzekutoi menjëherë proceset tona të reagimit ndaj incidenteve”.

Smishing është një formë e phishing-ut me anë të SMS-ve kundër punonjësve të synuar, e njohur për hakerat sepse mesazhet me tekst anashkalojnë kontrollet normale të ndërmarrjeve. Kjo u dha sulmuesve akses në sistemin e Mixpanel, duke u lejuar atyre të vidhnin një gamë të dhënash meta që lidhen me profilet e llogarisë platform.openai.com:

Emri i dhënë OpenAI në llogarinë API
Adresa e email-it e lidhur me llogarinë API
Vendndodhja e përafërt bazuar në shfletuesin e përdoruesit të API-t (qyteti, shteti, vendi)
Sistemi operativ dhe shfletuesi i përdorur për të hyrë në llogarinë API
Faqet referuese të internetit
ID-të e organizatës ose përdoruesit të shoqëruara me llogarinë API

“Ne komunikuam në mënyrë proaktive me të gjithë klientët e prekur. Nëse nuk keni dëgjuar nga ne drejtpërdrejt, nuk jeni prekur”, tha Taylor.

Sipas një postimi të veçantë të OpenAI, Mixpanel ndau të dhënat e klientëve të prekur me të më 25 nëntor. Pas shqyrtimit, OpenAI kishte ndërprerë përdorimin e Mixpanel, tha ajo, duke nënkuptuar se kjo mund të jetë e përhershme.

Incidenti prek disa klientë me llogari platform.openai.com, por jo përdoruesit e ChatGPT ose produkteve të tjera të OpenAI, tha OpenAI.

“Jemi në proces të njoftimit direkt të organizatave, administratorëve dhe përdoruesve të prekur. Ndërsa nuk kemi gjetur prova të ndonjë efekti në sisteme ose të dhëna jashtë mjedisit të Mixpanel, ne vazhdojmë të monitorojmë nga afër për çdo shenjë keqpërdorimi”, tha OpenAI.

“Kjo nuk ishte një shkelje e sistemeve të OpenAI. Asnjë bisedë, kërkesë API, të dhëna përdorimi API, fjalëkalime, kredenciale, çelësa API, detaje pagese ose identifikime qeveritare nuk u kompromentuan ose u ekspozuan.”

Ekzistojnë tre nivele shqetësimi këtu: cilët klientë të API-t të OpenAI preken, si mund t’i përdorin sulmuesit të dhënat e vjedhura nëse po, dhe mundësia, sado hipotetike, që të dhëna më të vlefshme, siç janë çelësat API ose kredencialet e llogarisë, mund të jenë në rrezik.

Lidhur me çështjen e parë, siç u përmend më sipër, të dyja kompanitë kanë thënë se kanë kontaktuar klientët e përfshirë në shkelje pa specifikuar se sa përdorues janë prekur. OpenAI ka krijuar një adresë email-i që klientët mund ta përdorin nëse kanë pyetje të mëtejshme: mixpanelincident@openai.com. Mixpanel ka krijuar një adresë ekuivalente kontakti: support@mixpanel.com⁠.

Megjithatë, nëse dekada të tëra shkeljesh të të dhënave i kanë mësuar botës diçka, është se kompanitë nuk e dinë gjithmonë shkallën e plotë të një shkeljeje të të dhënave, edhe kur thonë se e dinë. Për këtë arsye, do të ishte e mençur që klientët e OpenAI që nuk janë kontaktuar të kryejnë të njëjtin shqyrtim sigurie si ata që e kanë bërë.

OpenAI tha se klientët duhet të jenë vigjilentë ndaj sulmeve “phishing” që synojnë adresat e email-it të shkelura dhe të kontrollojnë nëse mesazhet që duket se dërgohen nga domeni i OpenAI janë të vërteta. Ata gjithashtu duhet të aktivizojnë vërtetimin shumëfaktorësh (MFA).

Nëse phishing-u tingëllon i përgjithshëm, në kontekstin e një lidhjeje API-je rreziqet janë më specifike dhe përfshijnë alarme të rreme më të nuancuara për gjëra të tilla si faturimi, mesazhet e kuotave dhe hyrjet e dyshimta.

Sipas OpenAI, nuk ka nevojë që klientët të rrotullojnë ose rivendosin kredencialet e llogarisë ose çelësat API, të cilët sulmuesit mund t’i përdorin për të vjedhur të dhëna ose për të konsumuar shërbime. Pavarësisht kësaj, zhvilluesit e kujdesshëm ka të ngjarë ta injorojnë këtë dhe të rrotullojnë dhe rivendosin kredencialet sepse kjo eliminon rrezikun.

Disa organizata të përfshira në sigurinë e API-t dhe IA-së kanë ofruar analiza më të detajuara të rekomandimeve në dritën e incidentit OpenAI-Mixpanel, duke përfshirë Ox Security dhe Dev Community.

OpenAI përdor platforma të jashtme analitike si Mixpanel për të ndjekur se si klientët bashkëveprojnë me modelet përmes API-t. Kjo përfshin modelet që zgjedh një klient plus meta të dhënat bazë si vendndodhja dhe ID-ja e email-it e listuara më sipër. Nuk ndjek ‘ngarkesën’ e përdoruesit, domethënë pyetjet dhe përgjigjet e chatbot-it që i dërgohen modelit nga një shfletues, të cilat janë të enkriptuara.

Incidenti i fundit nënvizon se siguria e platformës parësore është vetëm një pjesë e rrezikut: platformat dytësore dhe partnerët janë një derë e pasme që mund të ekspozojë edhe organizatat e kujdesshme, siç kanë parë disa klientë të Salesforce me shkeljet e të dhënave në partnerin e tyre Salesloft.

Sipërfaqja e sulmit e ekspozuar nga platformat e inteligjencës artificiale është më e madhe nga sa duket, një sfidë sigurie dhe qeverisjeje që ndërmarrjet duhet ta vlerësojnë përpara se të ndërhyjnë me të dyja këmbët.