OpenAI Xác Nhận Vụ Rò Rỉ Dữ Liệu—Đây Là Những Ai Bị Ảnh Hưởng

Tóm tắt

• Mixpanel cho biết một kẻ tấn công đã truy cập một phần hệ thống của họ và xuất dữ liệu siêu thông tin có thể nhận dạng khách hàng.
• OpenAI cho biết không có lời nhắc, khóa API, thông tin thanh toán hoặc mã thông báo xác thực nào được liên quan.
• Cả hai công ty đã xem xét sự cố, thông báo cho người dùng bị ảnh hưởng và phác thảo các bước bảo mật mới.

Trung tâm Nghệ thuật, Thời trang và Giải trí của Decrypt.

Khám phá SCENE

Một cuộc vi phạm tại nhà cung cấp phân tích Mixpanel vào đầu tháng này đã làm lộ tên tài khoản, địa chỉ email và vị trí trình duyệt của một số người dùng API của OpenAI, gã khổng lồ AI xác nhận vào thứ Tư, làm dấy lên lo ngại rằng tội phạm mạng có thể sử dụng siêu dữ liệu bị đánh cắp trong các nỗ lực lừa đảo có mục tiêu.

Theo Mixpanel, vào ngày 8 tháng 11, một kẻ tấn công không xác định đã truy cập vào một phần của hệ thống và xuất khẩu một tập dữ liệu chứa thông tin phân tích và siêu dữ liệu có thể nhận diện khách hàng. Dữ liệu bị đánh cắp bao gồm tên người dùng, địa chỉ email, vị trí dựa trên trình duyệt ước tính, hệ điều hành và chi tiết trình duyệt.

OpenAI cho biết vụ vi phạm không bao gồm các lệnh của người dùng, khóa API, thông tin thanh toán hoặc mã xác thực.

Chỉ dữ liệu từ người dùng đã truy cập công nghệ của OpenAI qua API—hay còn gọi là, qua các ứng dụng bên ngoài được hỗ trợ bởi GPT—đã bị rò rỉ, công ty cho biết. Nói cách khác, nếu bạn truy cập chatbot ChatGPT trực tiếp từ trang web của OpenAI, thì bạn sẽ không bị ảnh hưởng ở đây.

“Như một phần của cuộc điều tra an ninh, chúng tôi đã loại bỏ Mixpanel khỏi các dịch vụ sản xuất của mình, xem xét các tập dữ liệu bị ảnh hưởng và đang làm việc chặt chẽ với Mixpanel và các đối tác khác để hiểu rõ sự cố và quy mô của nó,” OpenAI cho biết trong một tuyên bố.

Được thành lập vào năm 2009, Mixpanel có trụ sở tại San Francisco là một nền tảng phân tích sản phẩm được sử dụng để theo dõi hành vi người dùng trên các ứng dụng web và di động. Công ty cho biết đã phát hiện ra chiến dịch “smishing” và sau một cuộc điều tra và phản ứng ban đầu, đã thông báo cho OpenAI vào ngày hôm sau.

“Chúng tôi cam kết minh bạch và thông báo đến tất cả khách hàng và người dùng bị ảnh hưởng,” OpenAI cho biết. “Chúng tôi cũng yêu cầu các đối tác và nhà cung cấp của mình phải chịu trách nhiệm về tiêu chuẩn cao nhất về bảo mật và quyền riêng tư của dịch vụ của họ.”

Smishing là một loại tấn công lừa đảo được thực hiện qua tin nhắn SMS. Theo một báo cáo vào tháng Mười của công ty quản lý hạ tầng Spacelift, smishing chiếm 39% tổng số mối đe dọa di động vào năm 2024.

Mixpanel cho biết đã bảo mật các tài khoản bị ảnh hưởng, thu hồi các phiên hoạt động, xoay vòng các thông tin đăng nhập bị xâm phạm và chặn các địa chỉ IP độc hại. Công ty cũng đã đặt lại mật khẩu cho nhân viên, thuê các công ty an ninh mạng bên ngoài và xem xét các bản ghi xác thực, phiên và xuất khẩu.

Sau khi xảy ra sự cố, Mixpanel cho biết họ đã bắt đầu thông báo cho các khách hàng bị ảnh hưởng về sự việc.

“Nếu bạn không nhận được thông tin trực tiếp từ chúng tôi, bạn không bị ảnh hưởng,” Giám đốc điều hành Mixpanel, Jen Taylor, cho biết trong một tuyên bố. “Chúng tôi tiếp tục ưu tiên an ninh như một nguyên tắc cốt lõi của công ty, sản phẩm và dịch vụ của chúng tôi. Chúng tôi cam kết hỗ trợ khách hàng và giao tiếp một cách minh bạch về sự cố này.”

Mặc dù Mixpanel đã báo cáo sự cố này cho OpenAI, nhưng nhà phát triển ChatGPT cho biết họ đã cắt đứt quan hệ với công ty phân tích. “Sau khi xem xét sự cố này, OpenAI đã chấm dứt việc sử dụng Mixpanel,” họ viết.

Một số khách hàng của OpenAI đã lên mạng xã hội để bày tỏ sự thất vọng với việc tiết lộ rằng một dịch vụ bên thứ ba đã có quyền truy cập vào thông tin của họ.

“Tôi không thực sự hài lòng về điều này. […] Tại sao họ phải chuyển tên và địa chỉ email của tôi cho Mixpanel?” một người dùng đã viết trên X. “Tôi chỉ là một người đam mê cố gắng thực hiện những thí nghiệm nhỏ.”

“Việc OpenAI gửi tên và email đến một nền tảng phân tích bên thứ ba (Mixpanel) cảm thấy cực kỳ thiếu trách nhiệm,” một người khác viết.

OpenAI và Mixpanel không ngay lập tức phản hồi yêu cầu bình luận từ Decrypt.