OpenAIがデータ侵害を確認—影響を受ける人々はこちら

簡潔に言えば

• Mixpanelは、攻撃者がシステムの一部にアクセスし、顧客識別可能なメタデータをエクスポートしたと発表しました。
• OpenAIは、プロンプト、APIキー、支払い情報、または認証トークンが関与していないと述べました。
• 両社は事件を調査し、影響を受けたユーザーに通知し、新しいセキュリティ対策を概説しました。

ディクリプトのアート、ファッション、エンターテインメントハブ。

SCENEを見る

今月初め、分析プロバイダーのMixpanelでの侵害により、OpenAIのAPIの一部ユーザーのアカウント名、メールアドレス、およびブラウザの位置情報が漏洩したことが、AIの巨人によって水曜日に確認されました。これにより、サイバー犯罪者が盗まれたメタデータを使用して標的型フィッシング攻撃を行う可能性が懸念されています。

Mixpanelによると、11月8日に不明な攻撃者がそのシステムの一部にアクセスし、顧客を特定できるメタデータと分析情報を含むデータセットをエクスポートしました。盗まれたデータには、ユーザー名、メールアドレス、概算のブラウザベースの位置情報、オペレーティングシステム、ブラウザの詳細が含まれていました。

OpenAIは、侵害にはユーザーのプロンプト、APIキー、支払い情報、または認証トークンは含まれていないと述べました。

OpenAIの技術にAPIを通じてアクセスしたユーザーのデータのみが漏洩したと会社は述べています。言い換えれば、OpenAIのウェブサイトから直接ChatGPTチャットボットにアクセスする場合、影響を受けることはありません。

「私たちのセキュリティ調査の一環として、Mixpanelを本番サービスから削除し、影響を受けたデータセットを確認し、Mixpanelや他のパートナーと密接に連携して、このインシデントとその範囲を完全に理解するために取り組んでいます」とOpenAIは声明を発表しました。

2009年に設立されたサンフランシスコに本拠を置くMixpanelは、ウェブおよびモバイルアプリケーションにおけるユーザーの行動を追跡するためのプロダクト分析プラットフォームです。同社は「スミッシング」キャンペーンを検出したと述べており、初期調査と対応の後、翌日にはOpenAIに通知しました。

“私たちは透明性にコミットしており、影響を受けたすべての顧客とユーザーに通知しています” とOpenAIは述べました。“私たちは、パートナーやベンダーにも、彼らのサービスのセキュリティとプライバシーに関して最高基準を守るよう責任を持たせています。”

スミッシングは、SMSメッセージを通じて行われるフィッシング攻撃の一種です。インフラ管理会社Spaceliftの10月の報告によると、2024年にはスミッシングがすべてのモバイル脅威の39％を占めていました。

Mixpanelは、影響を受けたアカウントを保護し、アクティブなセッションを無効にし、侵害された資格情報をローテーションし、悪意のあるIPアドレスをブロックしたと述べました。さらに、同社は従業員のパスワードをリセットし、外部のサイバーセキュリティ会社を雇い、認証、セッション、およびエクスポートログを確認しました。

侵害後、Mixpanelは影響を受けた顧客にこの事件について通知を開始したと述べました。

“直接私たちから連絡がなかった場合、影響を受けていないということです,” MixpanelのCEOジェン・テイラーは声明で述べました。“私たちは引き続き、セキュリティを会社、製品、サービスの核心的な理念として優先しています。この事件について顧客をサポートし、透明性のあるコミュニケーションを行うことにコミットしています。”

Mixpanelがこの事件をOpenAIに報告したにもかかわらず、ChatGPTの開発者は分析会社との関係を断つと述べました。「この事件を検討した結果、OpenAIはMixpanelの使用を終了しました」と彼らは書いています。

一部のOpenAIの顧客は、サードパーティのサービスが彼らの情報にアクセスしていたことが明らかになったことに対する不満をソーシャルメディアで表明しました。

"私はこれについてあまり満足していません。[…] なぜ彼らは私の名前とメールアドレスをMixpanelに渡さなければならなかったのですか？"とあるユーザーがXに書き込みました。“私はただ小さな実験をしようとしている趣味の者です。”

"OpenAIが名前とメールアドレスを第三者の分析プラットフォーム(Mixpanel)に送信するのは非常に無責任に思える"と別の人が書いた。

OpenAIとMixpanelは、Decryptからのコメント要求に即座に応じませんでした。